|
各位站长朋友应该知道在2013年7月15日dede出现了一个很大的安全漏洞,牵连了无数站点和php空间商。在此次dede安全漏洞集体爆发事件中,,一共发现6个dede站点被害。事后检查中,发现这6个站点都是清一色的dedecms v5.6的老版本,而且连最基本的安全策略都没有做,不给害才怪。而且 dede官网这几天访问也不太顺畅,貌似也被坑了,这几天观察dede官方网站也在不间断的恢复数据。今天23点的时候,我在dede官方论坛上了解最新的安全补丁信息,发现打不开。很是尴尬。织梦(dedecms)内容管理系统,这个让人又爱又恨的php开源系统,无忧主机不止一次提醒过大家,要随时跟随官方信息,即使更新版本,打安全补丁,而且无忧主机小编在此之前都发过非常多的dedecms安全配置教程,希望帮助客户做好防范措施。很多主机商都明令禁止自己的产品使用dedecms系统,这个很是寒心。给大家带来dedecms教程。进一步给大家介绍一下如何加强dedecms网站安全建设。
第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成123_,随便一个名称即可。
第二、密码,这个在任何地方、任何人都会说的一个问题,无忧主机 小编这里,依然再次强调,请你使用强壮密码,请您重视它,否则您将受到惩戒。我们都知道,dedecms内容管理系统的管理员密码是通过MD5加密的,你 知道,别人也知道。简单的md5字符串是很容易破解的,所以网站的密码一定要设置足够强壮,数字、字母、特殊符号组合10位以上,这样即便网站管理员口令 被强制“爆破”,这也给别人破解md5密码加密增加难度。
第三、装好程序后务必删除install目录
第四、请直接删除“install”目录,留着无用,而且还有会祸害网站安全,删了吧!删除系统安装程序,这个操作时安装所有php开源程序的共性
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、严防死守网站目录权限的设置,删除php执行权限,拒绝防止木马的执行,以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
1 file_manage_control.php
1 file_manage_main.php
1 file_manage_view.php media_add.php
1 media_edit.php media_main.php
再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
1、data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;
2、不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
3、 include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
4、删除目录执行权限。这个是官方强烈推荐的安全防范措施,请你务必重视,实现方法见:取消PHP空间目录脚本执行权限
我用自己的一句话概括这样的设置是:所有能够执行脚本的文件只能读,不能写,能够写入的文件却不能执行脚本,这样做的效果是尽可能的做到最严密的设置。至于设置的权限的方法在ftp工具上右击“属性”即可设置。关于权限,请您安装的时候默认权限即可,请不要随意改动默认权限,目录默认权限:文件夹755,单个文件644。
5、dede管理目录下的,这几个是后台附件/文件/图片上传与管理用的:
1 file_manage_control.php
2 file_manage_main.php
3 file_manage_view.php
4 media_add.php
5 media_edit.php
6 media_main.php
这些文件是后台文件管理器, 这个功能最多余,也最影响安全,许多hack都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马太方便了。一般用不上请统统删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、Dedecms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
如果做好以上十一点的话,相信您的网站基本上就碉堡了,黑客想要入侵也不是那么容易的了。
|
|