女神猫女王

代理加盟 2020全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 織夢大學 > 使用教程 >

DedeCMS安全設置及網站安全匯總

來源:本站原創 發布時間:2019-03-30 00:00:00熱度:我要評論(0

免費下載,無需注冊無需充值

       有朋友的DedeCMS后臺程序被掛馬,造成損失,就認為織夢安全性很低。說實話能被黑客看得上的網站其實做得還可以,垃圾站連我也不屑光顧。其實只要積累經驗,就能讓網站更安全,下面就來談一談具體的設置方法:

后臺密碼設置要復雜

       管理員密碼一定要長,字母與數字混合,不要用admin。系統數據庫存儲的密碼是MD5的,一般HACK就算通過注入拿到了MD5的密碼,如果你的密碼夠嚴謹,對方也逆轉不過來。

刪除不需要的目錄

       不需要的功能一律刪除,如不需要會員功能就將member文件夾刪除,刪除多余組件是避免被HACK注射的最佳辦法。將每個目錄添加空的index.html,防止目錄被訪問。

       可刪除目錄列表:

member會員功能
special專題功能
install安裝程序(必刪)
company企業模塊
/plus/guestbook留言板

       以及其他模塊一般用不上的都可以不安裝或刪除。

刪除不需要的文件

/dede/file_manage_control.php
/dede/file_manage_main.php
/dede/file_manage_view.php
/dede/media_add.php
/dede/media_edit.php
/dede/media_main.php

        這些文件是后臺文件管理器,一般用不上統統刪除,要管理文件夾盡量到FTP。

       不需要SQL命令運行器的將下面文件刪除。

/dede/sys_sql_query.php

       不需要tag功能請刪除:

/tag.php

       不需要頂客請刪除:

/plus/digg.php
/plus/diggindex.php

修改配置

       為了防止HACK利用發布文檔、上傳木馬,請安裝完成后阻止上傳PHP代碼。到此基本堵上了所有上傳與編輯木馬的可能性,附帶簡單方法。(在5.0以上的版本本身已經作好修改了,這點經測試比較過的)

       打開include/config_base.php,找到

Copy code//禁止用戶提交某些特殊變量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
   foreach($$ckv AS $key => $value)
     if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
}
}

       改為下面代碼

Copy code//把get、post、cookie里的<? 替換成
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
   foreach($$ckv AS $key => $value)
     if(!empty($value)){
       ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);<>
       ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
     }
     if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
//檢測上傳的文件中是否有PHP代碼,有直接退出處理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},'r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);		
if($fstr!='' && ereg("<\?",$fstr)){<>
     echo "你上傳的文件中含有危險內容,程序終止處理!";
     exit();
}
}
}

虛擬主機注意事項

目錄重命名

       管理目錄/dede務必重命名,而且要像密碼一樣復雜才最好。

補丁升級

       DedeCMS更新頻率不高,但是如果有更新一定用最新的,如果已經做了二次開發的,先備份數據庫,再仔細對比手動覆蓋安裝。

轉載請注明來源網址:http://www.qksux.club/dedecms_jq/1387.html

    發表評論

    評論列表(條)

      女神猫女王 22434464431422152390483866728689602221497550498446565119417525824911118091404701966457267173325275 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();