前言
开站以来,各种嗅探就没有断过,后台还是要伪装一下增加一点安全性。
修改后台地址
- 进入网站根目录
- 删除
install文件夹(里面是安装用的文件,留着没什么用) - 重命名
admin文件夹为一个比较难猜的名字,比如houtai12138 - 打开
config.inc.php,大概在20行,把/admin/改成后台文件夹的名字
修改前:/** 后台路径(相对路径) */ define('__TYPECHO_ADMIN_DIR__', '/admin/');修改后(
houtai12138改成新的后台地址):/** 后台路径(相对路径) */ define('__TYPECHO_ADMIN_DIR__', '/houtai12138/');
设置“蜜罐”
解压后把admin文件夹放到网站根目录即可,可以按需修改。
不要忘记修改
标题和最后返回主页的链接地址
不要忘记修改标题和最后返回主页的链接地址
不要忘记修改标题和最后返回主页的链接地址
输入用户名为root,密码为passw0rd时会跳到百度搜索页,其他时候会弹个窗提示密码错误 
index.php:
<!DOCTYPE HTML>
<html>
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="renderer" content="webkit">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>登录到Chr_小屋 - Chr_小屋 - Powered by Typecho</title>
<meta name="robots" content="noindex, nofollow">
<link rel="stylesheet" href="css/style.css">
<script>
<?php
if (isset($_POST["name"]) && isset($_POST["password"])) {
if ($_POST["name"] == "root") {
if ($_POST["password"] == "passw0rd") {
echo ("window.location.replace('https://www.baidu.com/s?wd=%e7%99%bd%e6%97%a5%e6%a2%a6%e6%80%8e%e4%b9%88%e5%81%9a');");
} else {
echo ("alert('密码错误');");
}
} else {
echo ("alert('用户名不存在');");
}
}
?>
</script>
</head>
<body class="body-100">
<div class="typecho-login-wrap">
<div class="typecho-login">
<h1><a href="http://typecho.org" class="i-logo">Typecho</a></h1>
<form action="index.php" method="post" name="login" role="form">
<p>
<label for="name" class="sr-only">用户名</label>
<input type="text" id="name" name="name" placeholder="用户名" class="text-l w-100" autofocus />
</p>
<p>
<label for="password" class="sr-only">密码</label>
<input type="password" id="password" name="password" class="text-l w-100" placeholder="密码" />
</p>
<p class="submit">
<button type="submit" class="btn btn-l w-100 primary">登录</button>
</p>
<p>
<label for="remember"><input type="checkbox" name="remember" class="checkbox" value="1" id="remember" />下次自动登录</label>
</p>
</form>
<p class="more-link">
<a href="https://blog.chrxw.com/">返回首页</a>
</p>
</div>
</div>
</body>
</html>本文链接:https://blog.chrxw.com/archives/2019/11/06/616.html
转载请保留本文链接,谢谢
13 条评论
学到了OωO
你好,请问伪装页面里触发网页跳转的账号和密码能写自己真正后台的账号密码吗
我还有一个小问题,就您的博客不管是您自己的头像还是评论区的头像都是正常显示的,这是怎么实现的呢,我自己的博客就不能正常显示自己的头像,评论区的头像应该是qq头像吧
抄个作业!谢谢博主分享!!OωO
请教一下只需要吧admin文件放到ftp就行了还需要做其他什么操作吗?我上传了好像访问不了。
admin是整个文件夹而不是单文件,网站文件夹结构应该类似与这种:
├── admin (假的后台)
│ ├── css
│ ├── img
│ └── index.php
├── houtai12138 (真的后台)
│ ├── css
│ ├── img
│ ├── index.php
│ ├── js
│ ├── ……
你好,请问那个统计页面是用什么实现的
统计是用Access插件实现的:https://blog.chrxw.com/archives/2019/11/06/569.html
因为伪后台页面没有使用Typecho框架的内容,简单起见就写了个异步请求页面的js:
var httpRequest = new XMLHttpRequest(); httpRequest.open('GET', 'https://blog.chrxw.com/tongji.html', true); httpRequest.send();https://blog.chrxw.com/tongji.html 是一个独立页面,默认隐藏,访问的时候Access插件会有记录,而且很容易区分流量。
当然也可以在伪后台页面导入Typecho的模块,在后端调用Access来统计流量。
学到了,谢谢
666 我来抄个作业~
太厉害了,简直笑死了,白日梦该如何做,求admin文件下载,文章中下载地址失效了,谢谢博主!(☆ω☆)
@神州太行 文中地址已更新 或者:https://file.chrxw.top/Web%E8%B5%84%E6%BA%90/admin.zip
@Chr好的谢谢博主!φ( ̄∇ ̄o)