电脑乐园提供网站建设,服务器,域名等互联网资讯服务

返回首页 微信
微信
手机版
手机版

怎样让你的dedecms更安全?

2018-06-16 新闻来源:电脑乐园 围观:1021
电脑广告
手机广告

一、安全删除篇:

织梦的功能模块是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步。可以删除的模块如下,请各位朋友按照需求删除。尤其是plus目录的一些文件,未用到的尽量删除,因为织梦历史上漏洞基本上是这个目录的文件。

member目录:会员功能,一般用不到

special目录:专题功能 ,很少有人用

install目录:安装程序,安装完成后必须删除

tags.php文件:根目录tags标签文件

对于plus目录,个人认为只留下面这些文件即可:

plus/ad_js.php 广告模块,如果用到广告请保留。

plus/count.php 内容页点击统计模块,有调用点击率的请保留

plus/diy.php 自定义表单,用到自定义表单请保留

plus/list.php 列表页模块,必须保留

plus/view.php 内容页模块,必须保留

对于织梦后台而言,尽量删除以下文件:

file_manage_control.php, file_manage_main.php, file_manage_view.php

media_add.php,media_edit.php,media_main.php

另外将后台不用的模块尽量卸载并删除:


二、安全权限篇:

1.将data、templets、uploads、html、images目录设置为不允许执行脚本。这个一般空间商都有提供设置,如果是独立服务器那么设置更容易。

2.如果有其他非织梦文档生成目录,请尽量设置为禁止写入。

3.data下的common.inc.php文件请设置为只读模式。

4.data目录下的mysql_error_trace.inc 这个文件是记录错误的,也很容易暴露后台地址,建议将此文件清空并设置为只读模式。当然您也可以参考网上方法将它改为其他名字。

三、安全设置篇:

首先后台地址,管理员用户名和密码不要使用默认的。很多新手为了图方便就用默认的,用默认的你的网站不被黑才奇怪了。建议将后台地址改为比较复杂的,用户名和密码都改为较长的,最好加一些特殊符号。

将data目录迁移出网站根目录。这个可参考官方设置,有条件的朋友操作下会更安全。

在模板文件中尽量不要使用{dede:global.cfg_templets_skin/},也不要将images和css文件放到模板目录中去读取,这样可以暴露你的模板目录,轻而易举将您的模板文件拷贝出去。

如果您有用到ftp,尽量在不使用的时候关闭,或者将您的ftp设置强大点,弱的密码很容易被猜到。

很多空间商提供phpmyadmin管理,在这里提醒各位朋友,请勿将phpmyadmin放到网站根目录。

另外数据库的用户名和密码也设置强大点,不要用root,root

四、安全其他篇:

1.请及时关注官方的漏洞补丁,常规补丁不要急于打。因为可能涉及到其他问题,紧急性的补丁请及时做好升级。但是升级前做好备份。

2.如果您的网站用的是空间,请保证空间商技术足够过硬,很多网站放在一个服务器上,还可以旁注,那你怎么设置都是无用。如果您用的是独立服务器,可以在上面装一些防护软件,这些软件至少能帮你抵挡很大一部分想黑你站的人。

3.请不要使用一些加密的插件,这些插件很大一部分存在后门。一不小心就中招了。

4.选择空间商尽量选择比较大的空间商。域名和空间或者服务器最好在一个平台,并做好账户安全设置。


文章底部电脑广告
手机广告位-内容正文底部

相关文章

  • DEDE更换Ueditor修正栏目内容、单页无法保存、图片加水印等问题
    DEDE更换Ueditor修正栏目内容、单页无法保存、图片加水印等问题

        dede使用Ueditor1.4.3.3 并修正单页栏目编辑器栏目内容、单页无法保存、图片加水印、图片附件保存目录、分页标签改变、远程图片自动本地化关闭,修改默认分页符...

    2019-08-13
  • dedecms select_soft_post.php任意文件上传漏洞修复
    dedecms select_soft_post.php任意文件上传漏洞修复

    漏洞公告:dedecms任意文件上传漏洞简介:dedecms变量覆盖漏洞导致任意文件上传。修复方案:方案一:使用云盾自研补丁进行一键修复; 方案二:更新该软件到官方最新版本或寻求该软件提供商...

    2019-08-05
  • 设置 X-Frame-Options为 SAMEORIGIN
    设置 X-Frame-Options为 SAMEORIGIN

    昨天一个客户发了一份名称为“某某网MatriXayWeb应用安全评估报告”给我,叫我处理里面提到的几个漏洞,其中一个低微漏洞叫“X-Frame-Options Header未配置”如果是自己的服务器,...

    2018-08-21
  • 解决“不能确定应用到此机器的组策略安全性设置”
    解决“不能确定应用到此机器的组策略安全性设置”

    最近服务器重新装了系统,根据阿里云的建议进行加固系统,操作到本地策略的审核策略时出现了如下图片的问题“不能确定应用到此机器的组策略安全性设置。在尝试从本地安全策略数据库(%windir% securi...

    2018-08-19
  • Dede做的站再次被黑
    Dede做的站再次被黑

    凌晨5点多,阿里云给我发了一封邮件,提示网站发现后门(Webshell)文件,想都不用想,肯定是DEDE做的那个网站。早上登陆阿里云果然如我所料,赶紧登陆服务器查看发现上图的那些东东。Dede真是够了...

    2018-08-18
  • 服务器宽带被占用导致网站无法打开
    服务器宽带被占用导致网站无法打开

    这两天服务器遇到了严重的问题,远程连接一直出现系统错误,重启服务器后偶尔可以远程连接进去,发现奇卡无比,带宽被跑满了。阿里云后台监视图:服务器上的资源监视器:占用最多宽带的竟然是system进程,搞得...

    2018-08-09
  • dede webshell事件阴魂不散
    dede webshell事件阴魂不散

    dede真的不让我省心,当初选择用dede建站现在肠子都悔青了。可能是我太菜了怎么也做不好dede的安全,隔三差五都出现webshell,打算换一个cms重新做了。...

    2018-07-23
  • dedecms无节操的webshell后门
    dedecms无节操的webshell后门

    之前帮某单位用的dedecms做的网站,最近被某黑阔getshell了. 阿里云隔天就给我报警打开查看代码都是:document.write(“<?php echo ‘ded...

    2018-07-05