作为拥有80多万用户的免费电商建站程序，Shopex的安全性一直备受用户责难。事实上，任何一种开源程序都难免存在安全性漏洞，使用和研究的人越多，漏洞就会发现得更多。前不久，dedecms的零日漏洞就导致众多网站被攻陷。作为站长，只要重视网站的安全，掌握一定的技巧，还是可以避免常见漏洞的侵害的。清风常年来为广大shopex用户提供网站安全技术服务，今天在此分享一些shopex安全设置的经验。

1、如何选择操作系统？

毋容质疑，用shopex建站使用Linux是最安全、最稳定的选择。由于shopex本身的伪静态和数据库读写的特点，在windows服务器下，性能屏颈十分突出，经常会出现cpu占用率100%的现象。此外，windows系统的漏洞多、容易被攻击侵入是众所周知的。而linux下的Apache+mysql+php本身就是天然最佳组合，无论是性能的优化还是安全性，都比windows要高出许多。所以，站长朋友们，如果你还在选择服务器，果断的选择linux吧。

2、如何选择linux版本？

Linux是一种自由和开放源码的类Unix操作系统，存在着许多不同的Linux版本。就清风的经验来看，可选择CentOS系列版本，如CentOS 6.3。如果你的服务器内存超过4G，请使用CentOS 64位版本，否则，请选择32位版本。

3、如何设置Shopex目录权限?

就建站而言，Linux的安全性主要体现在目录权限的严格分配上。一般我们可以通过ftp去严格设定Shopex的目录权限，如果没有ftp或者ftp没有权限，可通过linux的命令行操作模式去设定。

shopex目录的权限设定

【api】 555权限
【config】 初次安装时请设为777权限，程序安装好之后改为555权限
【core】 555权限
【home】 755或777权限（此目录必须可写入）
【images】 755或777权限（此目录必须可写入）
【install】 程序安装好后请将此目录删除
【plugins】 555权限
【public】 555权限,如果不用水印，这个目录基本用不上
【shopadmin】 555权限，强烈建议将此目录改名，防止被猜解
【statics】 555权限
【themes】 555权限
根目录文件权限设置：
api.php、index.php、passport_client.php 555权限
其它文件全设为644权限

为什么是555权限:555权限即可读可执行，但不可以写入。这样可以有效的防止黑客利用漏洞上传可执行破坏代码。

4、利用Rewrite规则进一步严格设定目录权限，防止黑客利用漏洞写入远程执行代码。

如果在Apache里设定了对Rewrite的支持，支持引用根目录下的.htaccess文件的话，可在shopex后台营销管理---seo设置里，开启伪静态支持。然后，修改.htaccess文件，设定好目录权限，进一步提高网站安全。

做法是，在RewriteBase / 后面新增一行，如下：

RewriteBase /
RewriteRule (home|images|themes|core|plugins)/(.*).(php|html|xml)$ – [F]

以上规则对一些可写入的目录限定了不可以直接执行php文件，防止黑客上传攻击性文件。这样设定后，就算黑客能写入文件，但也不能直接执行攻击文件而达到安全的目的。你还可以根据你的要求把更多的文件目录进行设定。

特别要说明的是，core目录和plugins目录放置了很多程序文件，但shopex所有的程序都是通过index.php去引用并执行的，并不会直接执行这些目录下的php文件，试图直接执行这些目录下的php文件的，都可视为不怀好意。因此可以直接禁止这两个目录直接运行php的权限，只允许让访问者通过index.php（默认）进行访问。

一般通过上面的设置，就可以有效防止黑客利用漏洞攻击了。总之，只要你认真研究一下linux服务器的目录权限功能，合理的设置的话，网站安全问题就不会再困扰你了。