当前位置:首页> 网站运营 > DedeCMS安全设置及网站安全汇总

DedeCMS安全设置及网站安全汇总

2021-05-11 08:32:04 来源: 网络   编辑: 佚名   浏览(37)人   
0
    有朋友的DedeCMS后台程序被挂马,造成损失,就认为织梦安全性很低。说实话能被黑客看得上的网站其实做得还可以,垃圾站连我也不屑光顾。其实只要积累经验,就能让网站更安全,下面就来谈一谈具体的设置方法:
    后台密码设置要复杂
    管理员密码一定要长,字母与数字混合,不要用admin。系统数据库存储的密码是MD5的,一般HACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。
    删除不需要的目录
    不需要的功能一律删除,如不需要会员功能就将member文件夹删除,删除多余组件是避免被HACK注射的最佳办法。将每个目录添加空的index.html,防止目录被访问。
    可删除目录列表:
    member会员功能
    special专题功能
    install安装程序(必删)
    company企业模块
    /plus/guestbook留言板
    以及其他模块一般用不上的都可以不安装或删除。
    删除不需要的文件
    /dede/file_manage_control.php
    /dede/file_manage_main.php
    /dede/file_manage_view.php
    /dede/media_add.php
    /dede/media_edit.php
    /dede/media_main.php
    这些文件是后台文件管理器,一般用不上统统删除,要管理文件夹尽量到FTP。
    不需要SQL命令运行器的将下面文件删除。
    /dede/sys_sql_query.php
    不需要tag功能请删除:
    /tag.php
    不需要顶客请删除:
    /plus/digg.php
    /plus/diggindex.php
    修改配置
    为了防止HACK利用发布文档、上传木马,请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性,附带简单方法。(在5.0以上的版本本身已经作好修改了,这点经测试比较过的)
    打开include/config_base.php,找到
    Copycode//禁止用户提交某些特殊变量
    $ckvs=Array('_GET','_POST','_COOKIE','_FILES');
    foreach($ckvsas$ckv){
    if(is_array($$ckv)){
    foreach($$ckvAS$key=>$value)
    if(eregi("^(cfg_|globals)",$key))unset(${$ckv}[$key]);
    }
    }
    改为下面代码
    Copycode//把get、post、cookie里的<?替换成
    $ckvs=Array('_GET','_POST','_COOKIE');
    foreach($ckvsas$ckv){
    if(is_array($$ckv)){
    foreach($$ckvAS$key=>$value)
    if(!empty($value)){
    ${$ckv}[$key]=str_replace('
    ${$ckv}[$key]=str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
    }
    if(eregi("^cfg_|globals",$key))unset(${$ckv}[$key]);
    }
    }
    //检测上传的文件中是否有PHP代码,有直接退出处理
    if(is_array($_FILES)){
    foreach($_FILESAS$name=>$value){
    ${$name}=$value['tmp_name'];
    $fp=@fopen(${$name},'r');
    $fstr=@fread($fp,filesize(${$name}));
    @fclose($fp);
    if($fstr!=''&&ereg("
    echo"你上传的文件中含有危险内容,程序终止处理!";
    exit();
    }
    }
    }
    虚拟主机注意事项
    目录重命名
    管理目录/dede务必重命名,而且要像密码一样复杂才最好。
    补丁升级
    DedeCMS更新频率不高,但是如果有更新一定用最新的,如果已经做了二次开发的,先备份数据库,再仔细对比手动覆盖安装。
本文地址:https://www.vi586.com/web/364.html
版权声明:原创文章,版权归重庆SEO吖七所有,欢迎分享本文,支持原创,转载请保留出处
【版权与免责声明】如发现内容存在版权问题,烦请提供相关信息发邮件至 2366541504@qq.com ,我们将及时沟通进行删除处理。 本站内容除了 98link( http://www.98link.com/ )特别标记的原创外,其它均为网友转载内容,涉及言论、版权与本站无关。