织梦安全设置及网站安全汇总教程

dedecms教程:织梦教程安全设置及网站安全汇总教程!有朋友的织梦DedeCMS后台程序被挂马,造成损失,就认为织梦安全性很低。

dedecms教程:织梦教程安全设置及网站安全汇总教程!有朋友的织梦DedeCMS后台程序被挂马,造成损失,就认为织梦安全性很低。

说实话能被黑客看得上的网站其实做得还可以,垃圾站连我也不屑光顾。其实只要积累经验,就能让网站更安全。

下面就来谈一谈具体的设置方法:

后台密码设置要复杂

管理员密码一定要长,字母与数字混合,不要用admin。系统数据库存储的密码是MD5的,一般HACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。

删除不需要的目录

不需要的功能一律删除,如不需要会员功能就将member文件夹删除,删除多余组件是避免被HACK注射的最佳办法。

可删除目录列表:

  member会员功能
  special专题功能
  install安装程序(必删)
  company企业模块
  /plus/guestbook留言板

以及其他模块一般用不上的都可以不安装或删除。

删除不需要的文件

  /dede/file_manage_control.php
  /dede/file_manage_main.php
  /dede/file_manage_view.php
  /dede/media_add.php
  /dede/media_edit.php
  /dede/media_main.php

这些文件是后台文件管理器,一般用不上统统删除,要管理文件夹尽量到FTP。

不需要SQL命令运行器的将下面文件删除。

  /dede/sys_sql_query.php
  不需要tag功能请删除:
  /tag.php
  不需要顶客请删除:
  /plus/digg.php
  /plus/diggindex.php

修改配置

为了防止HACK利用发布文档、上传木马,请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性,附带简单方法。

打开include/config_base.php,找到

Copy code//禁止用户提交某些特殊变量
  $ckvs = Array('_GET','_POST','_COOKIE','_FILES');
  foreach($ckvs as $ckv){
  if(is_array($$ckv)){
  foreach($$ckv AS $key => $value)
  if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
  }
  }

改为下面代码

Copy code//把get、post、cookie里的<? 替换成
  $ckvs = Array('_GET','_POST','_COOKIE');
  foreach($ckvs as $ckv){
  if(is_array($$ckv)){
  foreach($$ckv AS $key => $value)
  if(!empty($value)){
  ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);<>
  ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
  }
  if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
  }
  }
  //检测上传的文件中是否有PHP代码,有直接退出处理
  if (is_array($_FILES)) {
  foreach($_FILES AS $name => $value){
  ${$name} = $value['tmp_name'];
  $fp = @fopen(${$name},'r');
  $fstr = @fread($fp,filesize(${$name}));
  @fclose($fp);
  if($fstr!='' && ereg("<\?",$fstr)){<>
  echo "你上传的文件中含有危险内容,程序终止处理!";
  exit();
  }
  }
  }

目录重命名 虚拟主机注意事项

管理目录/dede务必重命名,而且要像密码一样复杂才最好。

补丁升级

DedeCMS更新频率不高,但是如果有更新一定用最新的,如果已经做了二次开发的,先备份数据库,再仔细对比手动覆盖安装。

温馨提示:
1.本站大部分内容均收集于网络!若内容若侵犯到您的权益,请发送邮件至:duhaomu@163.com,我们将第一时间处理!
2.资源所需价格并非资源售卖价格,是收集、整理、编辑详情以及本站运营的适当补贴,并且本站不提供任何免费技术支持。
3.所有资源仅限于参考和学习,版权归原作者所有,更多请阅读网站声明

给TA赞赏
共{{data.count}}人
人已赞赏
编程技巧

Discuz品牌空间伪静态规则

2020-10-10 0:00:00

编程技巧

Discuz密码错误次数过多,请15分钟后重新登录的修改方法

2020-10-17 0:00:00

0 条回复 A文章作者 M管理员
----《》
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索