有朋友的织梦DedeCMS后台程序被挂马,造成损失,就认为织梦安全性很低。说实话能被黑客看得上的网站其实做得还可以,垃圾站连我也不屑光顾。其实只要积累经验,就能让网站更安全,下面就来谈一谈具体的设置方法:
后台密码设置要复杂
管理员密码一定要长,字母与数字混合,不要用admin。系统数据库存储的密码是MD5的,一般HACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。
删除不需要的目录
不需要的功能一律删除,如不需要会员功能就将member文件夹删除,删除多余组件是避免被HACK注射的最佳办法。
可删除目录列表:
member会员功能
special专题功能
install安装程序(必删)
company企业模块
/plus/guestbook留言板
以及其他模块一般用不上的都可以不安装或删除。
删除不需要的文件
/dede/file_manage_control.php
/dede/file_manage_main.php
/dede/file_manage_view.php
/dede/media_add.php
/dede/media_edit.php
/dede/media_main.php
这些文件是后台文件管理器,一般用不上统统删除,要管理文件夹尽量到FTP。
不需要SQL命令运行器的将下面文件删除。
/dede/sys_sql_query.php
不需要tag功能请删除:
/tag.php
不需要顶客请删除:
/plus/digg.php
/plus/diggindex.php
修改配置
为了防止HACK利用发布文档、上传木马,请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性,附带简单方法。
打开include/config_base.php,找到
1Copy code//禁止用户提交某些特殊变量 2 $ckvs = Array('_GET','_POST','_COOKIE','_FILES'); 3 foreach($ckvs as $ckv){ 4 if(is_array($$ckv)){ 5 foreach($$ckv AS $key => $value) 6 if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]); 7 } 8 } |
改为下面代码
01Copy code//把get、post、cookie里的<? 替换成 02 $ckvs = Array('_GET','_POST','_COOKIE'); 03 foreach($ckvs as $ckv){ 04 if(is_array($$ckv)){ 05 foreach($$ckv AS $key => $value) 06 if(!empty($value)){ 07 ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);<> 08 ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]); 09 } 10 if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]); 11 } 12 } 13 //检测上传的文件中是否有PHP代码,有直接退出处理 14 if (is_array($_FILES)) { 15 foreach($_FILES AS $name => $value){ 16 ${$name} = $value['tmp_name']; 17 $fp = @fopen(${$name},'r'); 18 $fstr = @fread($fp,filesize(${$name})); 19 @fclose($fp); 20 if($fstr!='' && ereg("<\?",$fstr)){<> 21 echo "你上传的文件中含有危险内容,程序终止处理!"; 22 exit(); 23 } 24 } 25 } |
目录重命名 虚拟主机注意事项
管理目录/dede务必重命名,而且要像密码一样复杂才最好。
补丁升级
DedeCMS更新频率不高,但是如果有更新一定用最新的,如果已经做了二次开发的,先备份数据库,再仔细对比手动覆盖安装。
温馨提示
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请后台提交工单处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请后台提交工单!
【免责声明】:
本站所发布的一切资源仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
【关于转载】:
本站尊重互联网版权体系,本站部分图片、文章大部分转载于互联网、所有内容不代表本站观点、不对文章中的任何观点负责、转载的目的只用于给网民提供信息阅读,无任何商业用途,所有内容版权归原作者所有
如本站(文章、内容、图片、视频)任何资料有侵权,先说声抱歉;麻烦您请联系请后台提交工单,我们会立即删除、维护您的权益。非常感谢您的理解。
【附】:
二○○二年一月一日《计算机软件保护条例》第十七条规定:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬!鉴于此,也希望大家按此说明研究软件!
注:本站资源来自网络转载,版权归原作者和公司所有,如果有侵犯到您的权益,请第一时间联系我们处理!
-----------------------------------------------------------------------------------------------------------
【版权声明】:
一、本站致力于为源码爱好者提供国内外软件开发技术和软件共享,着力为用户提供优资资源。
二、本站提供的源码下载文件为网络共享资源,请于下载后的24小时内删除。如需体验更多乐趣,还请支持正版。
三、如有内容侵犯您的版权或其他利益的,请编辑邮件并加以说明发送到站长邮箱。站长会进行审查之后,情况属实的会在三个工作日内为您删除。
-----------------------------------------------------------------------------------------------------------
源码村资源网 » 织梦安全设置及网站安全汇总教程
