哈尔滨SEO技术博客
网站优化、网站推广、网络营销

织梦dedeCMS的安全防护

因为模版丰富,二次开发成本低,也容易上手,所以使用织梦CMS建设的网站非常多。可以说织梦本身的安全防护是OK的,但是因为使用人太多了,研究漏洞的人也的格外的多,毕竟没有完美的程序…加上很多公司维护升级补丁的不及时导致织梦CMS被黑的概率是最高的。

在此,冰城SEOer介绍一些织梦常规的维护方式:

安装后官方推荐:
1.默认管理目录为dede,需要立即将它更名;
2.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT);
3.没有更改默认管理员名称admin,建议您修改为其他管理账号!马上修改

额外的安全设置(可以根据你的需求,会安全很多):

一.member目录
这个作为织梦的会员功能,一般企业站是用不到的,整个目录直接删除。

二.plus目录
留言板-guestbook目录删掉,task文件夹也删掉。其他文件如图所示,这是我自己删掉的文件,都用不到。

三.管理目录,也就是dede目录
把前缀名为
file_manage_XXXXX.php
media_XXX.php
soft_XXX.php
以上这些PHP文件删除。

四.data目录重命名
织梦默认的data目录存在一定的风险,我们可以进行对data目录进行重命名,步骤如下:
1.将data目录重命名,例如改成seodata

2.找到/include/common.inc.php文件,使用替换功能将里面的“/data”替换成“/seodata”

3.进入系统后台,在系统设置中,性能设置,模板缓存目录里的/data替换成/seodata

4.修改根目录下的index.php中data的路径,也就是“/data”替换成/seodata

5.修改m目录下的index.php中data的路径,也就是“/data”替换成/seodata

五.删除install目录,修改后台地址
默认后台地址是最危险的,容易引起不法分子进行对网站后台分析,网站后台特别要注意,把默认的dede改成复杂难以猜到的数字或字母,这样就算
网站有漏洞,破解出来登陆账号密码,没有找到后台,那也无济于事。其次是网站安装完成后,务必吧install目录整个删除掉,防止重新安装。

六.目录权限的设置
当网站上线之后,一定要给目录设置禁止下执行与写入权限,防止黑客SQL注入。
1、a 因为是静态目录,并且在要生成HTML的,所以拒绝脚本执行 允许写入
2、data 因为是缓存等,所以充许写入,但是因为这里面的文件引入到其它地方进行使用,所以要拒绝脚本执行
3、dede 后台管理目录,并且这个一般情况下不需要修改,所以允许脚本执行,拒绝写入
4、images 仅是存系统图片, 所以拒绝脚本执行,拒绝写入
5、include 虽然这个目录有系统库,一般情况下也是引入到其它地方使用,但是也有一些文件需要执行,比如验证码,但是一般不需要修改。所以
允许脚本执行,拒绝写入
6、install 这个目录在系统安全完之后,直接delete。 系统部署之后,这个文件夹就没有用了
7、member 如果不使用会员系统,这个目录夹也可以直接删除。
8、plus 这个插件目录,不需要修改的,允许脚本执行,拒绝写入
9、special 这个专题文件夹,一般我们会改名。与a目录一样,拒绝脚本执行,允许写入
10、templets 这相模板目录,拒绝执行,拒绝写入。heike主要想改的就是它,所以一定要写入,虽然拒绝写入之后,比较麻烦,如果修改模板,要
先允许写入,再修改再去拒绝写入,但是不要嫌麻烦,毕竟为了安全嘛。
11、uploads 上传目录,不用说必须拒绝脚本,允许写入,一个不小心,heike就给你上传个木马上来了。

七.管理员账号密码一定要修改,密码最好设置英文+数字,越复杂越好。
织梦修改默认管理员密码大家应该都会,修改默认管理员账号很多人找不到,其实也很简单,用数据库内容批量替换来替换默认的admin,详情请看下
图:

核心 – 数据库内容替换 – 选择dede_admin – 点击userid – 被替换内容填写admin – 替换为填写其他字母

八.选择好的空间商
选择网站空间商,一定要选稳定的,最好是独立IP,不要选择不知名的空间商,没准一些空间商自己在捣鬼!我们是西数数码和美橙互联的顶级代理,这两个品牌的主机产品都还是不错的!

最后,网站一定要按时备份,毕竟再安全的网站也有可能被入侵的可能,不过像织梦这样的管理系统,只要做好以上的设置,一般是没有什么问题的~

未经允许不得转载:冰城SEOer » 织梦dedeCMS的安全防护

分享到:更多 ()

靠谱的网络解决方案合作伙伴

服务项目联系我们