精彩推荐

当前位置:»盱眙论坛 网络时代 网站建设 帖子

Dedecms网站安全设置入门教程

940人阅读  0人回复   查看全部 | 阅读模式 | 复制链接   

返回列表 发新帖
金晟诺

1

主题

1

帖子

5

积分

新手上路

Rank: 1

积分
5
  • 发消息
    		•
    发表于 2015-4-23 06:03:28
    分享到:
    网站
    各位站长朋友应该知道在2013年7月15日dede出现了一个很大的安全漏洞,牵连了无数站点和php空间商。在此次dede安全漏洞集体爆发事件中,,一共发现6个dede站点被害。事后检查中,发现这6个站点都是清一色的dedecms v5.6的老版本,而且连最基本的安全策略都没有做,不给害才怪。而且 dede官网这几天访问也不太顺畅,貌似也被坑了,这几天观察dede官方网站也在不间断的恢复数据。今天23点的时候,我在dede官方论坛上了解最新的安全补丁信息,发现打不开。很是尴尬。织梦(dedecms)内容管理系统,这个让人又爱又恨的php开源系统,无忧主机不止一次提醒过大家,要随时跟随官方信息,即使更新版本,打安全补丁,而且无忧主机小编在此之前都发过非常多的dedecms安全配置教程,希望帮助客户做好防范措施。很多主机商都明令禁止自己的产品使用dedecms系统,这个很是寒心。给大家带来dedecms教程。进一步给大家介绍一下如何加强dedecms网站安全建设。



    第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成123_,随便一个名称即可。

    第二、密码,这个在任何地方、任何人都会说的一个问题,无忧主机 小编这里,依然再次强调,请你使用强壮密码,请您重视它,否则您将受到惩戒。我们都知道,dedecms内容管理系统的管理员密码是通过MD5加密的,你 知道,别人也知道。简单的md5字符串是很容易破解的,所以网站的密码一定要设置足够强壮,数字、字母、特殊符号组合10位以上,这样即便网站管理员口令 被强制“爆破”,这也给别人破解md5密码加密增加难度。

    第三、装好程序后务必删除install目录

    第四、请直接删除“install”目录,留着无用,而且还有会祸害网站安全,删了吧!删除系统安装程序,这个操作时安装所有php开源程序的共性

    第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。

    第六、严防死守网站目录权限的设置,删除php执行权限,拒绝防止木马的执行,以下是可以删除的文件:

    管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的

    1 file_manage_control.php
    1 file_manage_main.php

    1 file_manage_view.php media_add.php

    1 media_edit.php media_main.php

    再有:

    不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

    不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

    1、data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;

    2、不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;

    3、 include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。

    4、删除目录执行权限。这个是官方强烈推荐的安全防范措施,请你务必重视,实现方法见:取消PHP空间目录脚本执行权限

    我用自己的一句话概括这样的设置是:所有能够执行脚本的文件只能读,不能写,能够写入的文件却不能执行脚本,这样做的效果是尽可能的做到最严密的设置。至于设置的权限的方法在ftp工具上右击“属性”即可设置。关于权限,请您安装的时候默认权限即可,请不要随意改动默认权限,目录默认权限:文件夹755,单个文件644。

    5、dede管理目录下的,这几个是后台附件/文件/图片上传与管理用的:

    1 file_manage_control.php

    2 file_manage_main.php

    3 file_manage_view.php

    4 media_add.php

    5 media_edit.php

    6 media_main.php

    这些文件是后台文件管理器, 这个功能最多余,也最影响安全,许多hack都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马太方便了。一般用不上请统统删除。

    第七、多关注dedecms官方发布的安全补丁,及时打上补丁。

    第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.

    第九、Dedecms官网出的万能安全防护代码,登录dedecms官网论坛查看.

    第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。

    十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.

    如果做好以上十一点的话,相信您的网站基本上就碉堡了,黑客想要入侵也不是那么容易的了。
    回复

    使用道具 举报

    猜你喜欢

    返回列表 发新帖
    热点回顾

    快速回复 返回顶部 返回列表