高端定制！苹果 CMSv10 含采集插件版本

一、核心更新内容（2025 年 2 月 5 日起）

1. 框架与运行环境升级（大更新）

• 升级 thinkphp 框架至最新版 5.0.27，提升底层稳定性；
• 迁移运行目录至 public，符合 thinkphp 安全标准，降低目录暴露风险。

2. 安全防护强化

• 去除后台潜在远程 JS 代码、自动更新功能、版本检测及信息收集，杜绝官方远程控制与 XSS 攻击风险；
• 移除安装记录向 http://www.****.la 远程服务的提交，解密该域名相关字符加密；
• 解密 player.js 并删除远程 JS 代码，解决夜间跳转广告问题；
• 新增后台登录 Token 口令验证，有效防御 CSRF 跨站攻击；
• 屏蔽后台 “网站首页” 链接来路追踪，避免前台 JS 获取上一页 URL 暴露后台入口；
• 过滤资源站 XSS 跨站脚本攻击代码，修复后台邮件发送功能的任意 PHP 代码执行漏洞（防止绕过后台验证植入 webshell 木马）；
• 优化缓存安全，过滤缓存溢出导致的安全问题。

3. 功能与体验优化

• 升级安装程序：支持安装时自动生成随机或自定义后台入口文件名，提升后台隐蔽性；
• 迁移模板安装目录：由 根目录/template 调整为 根目录/public/template，适配新运行目录；
• 新增功能：群站 URL 独立密码功能、网站导航一键获取网站信息功能；
• 性能优化：优化多处算法及错误阻塞问题，提升后台首页加载速度。

4. 错误修复（大更新）

• 后台：修复未定义变量、未定义数组索引及各类致命错误共 50 余处；
• 前台：修复未定义变量、未定义数组索引及各类致命错误共 200 余处。

二、安装部署安全建议

注意：为规避 Nginx 缓存漏洞，建议将 Nginx 版本升级至 1.25.4

1. 目录权限控制
   • \public\static、\public\static_new、\public\upload 目录：禁止运行 PHP；
   • \thinkphp、\extend、\vendor 目录：锁死写入权限，防止恶意篡改。
2. 账号与验证设置
   • 后台开启登录验证码，提升账号安全性；
   • 管理员登录密码：需为 6 位及以上，包含数字 + 字母 + 特殊符号的组合形式。
3. 前台交互限制
   • 关闭前台游客评论、游客留言板功能，减少垃圾信息与攻击入口；
   • 开启搜索验证码与搜索时间限制，防止恶意搜索攻击。