织梦内容管理系统(DedeCms)dede的安全问题解决办法
织梦内容管理系统(DedeCms)dede的安全问题解决办法
第一、安装Dede的时候数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。
第二、后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
第三、装好程序后务必删除install目录!!!
第四、将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录/功能(如果你用不到的话):
member会员功能
special专题功能
company企业模块
plusguestbook留言板
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容文件,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据!!!
迄今为止,我们发现的恶意脚本文件有
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php等等
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件
最好安装一些安全工具,比如安全狗等。只有全方位的保护才能保证网站的暂时安全。
当然这些都不如换模板用来的好
首先识别是否被挂马
被挂马的网站经常无缘无故的打不开,经查就会发现服务器或者空间对外发送大量的udp包,占用了很大流量,然后用dede本身的病毒扫描就会发现多了一些可疑文件。或者挂马后黑客会对网站挂很多黑链,这个查看首页代码就很容易发现。还有一种就是黑客对页面插入了一些js代码或者是图片代码,这样也可以实现ddos攻击。通过dedecms的漏洞,黑客并不需要获得服务器的权限就可以实现ddos攻击。真是防不胜防啊。
解决方法,我总结了下面几条
1,一些文件的权限:把根目录下的index.php,tag.php等设置成只读,并且把所有的模板文件设置成只读格式。
2,dedecms目录的安全设置:data/cache/、templets、uploads 目录设置可读写,不可执行权限。include、member、plus设置可读 可执行 不可写权限,由于dedecms并没有任何地方使用存储的过程,因此可以禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。其中假如member等目录对你没有用处的话,最好把目录名字改掉。
3,网站程序安全:这也是最根本的防范,最好及时更新dede的版本,跟上官方的最新版,当然你也可以找一些高手把程序优化的更符合你的安全需求。
4,后台管理目录:后台管理目录隔一段时间修改一次,最好修改复杂一点,这样可以让小黑客们下手难度增加。
5,FTP 网站管理密码: FTP密码和网站管理密码建议经常修改,因为很多黑客都在用暴力破解密码,把密码改的复杂些尽量掺杂着特殊符合和字母
6,不用的端口最好关掉:你可以用服务器本身的端口过滤功能,也可以用一些服务器管理软件,对服务器不用的端口进行关闭。
7,查找一下服务器的隐藏账户:这个比较麻烦,有的隐藏账户很难处理干净!在这里就不一一叙述了,你可以在百度上搜索一下相关资料,实在不行的话最好重装系统!
织梦内容管理系统(DedeCms)dede的安全问题解决办法相关推荐
- 织梦内容管理系统(DedeCMS)
简介 织梦内容管理系统(DedeCMS) 以简单.实用.开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面 ...
- 给你八分钟搞定dedeCMS(织梦内容管理系统)
给你八分钟搞定dedeCMS(织梦内容管理系统) 第1分钟_dedeCMS概述 织梦内容管理系统(DedeCms) 以简单.实用.开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的P ...
- 武汉php 织梦,给你八分钟搞定dedeCMS(织梦内容管理系统)_PHP教程
织梦内容管理系统(DedeCms) 以简单.实用.开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历了二年多的发展,目前的版本无论在功能,还是在易用性方面, ...
- dede织梦内容管理系统模板标签代码参考
◆织梦内容管理系统模板标签代码参考 [Arclist 标记] 这个标记是DedeCms最常用的一个标记,也叫自由列表标记,其中 hotart.coolart.likeart.artlist.imgli ...
- DEDECMS织梦内容管理系统安全设置(防范网站注入挂马)
"dede"太脆弱了,早不用早解脱","DEDE安全吗,怎么总是被入侵挂马? ","天,怎么回事,又被挂马了"经常能碰到这样的抱怨 ...
- [DeDe] - 织梦内容管理系统模板标签代码参考
来源:http://www.dedecms.com/archives/templethelp/help/taghelp.htm ◆织梦内容管理系统模板标签代码参考 [Arclist 标记] 这个标记 ...
- 织梦dede 后台“标题织梦内容管理系统”修改方法
http://www.rioyi.com/a/news/fangan/225.html 织梦dede 后台"标题织梦内容管理系统"修改方法 https://www.cnblog ...
- 织梦dedecms后台管理标题“织梦内容管理系统”的去掉方法
前端 有时适合,我们的网站是给客户开发的.当提交给客户后台管理系统时,访问后台管理地址,会发现在标题栏的标题,有一个"织梦内容管理系统 V57_GBK_SP1"字样.有些客户不喜欢 ...
- php开发内容管理系统,中国专业的PHP网站内容管理系统-织梦内容管理系统
DedeCMS v5 国内专业的PHP网站内容管理系统-织梦内容管理系统 平台需求 1.Windows 平台 IIS/Apache/Nginx + PHP5/PHP7 + MySQL4/5 如果在wi ...
最新文章
- 用Alpha生成Trimp图的方法(python)
- MOS2010的界面介绍和定制方法简介【资料汇集】
- 《图解服务器网络架构》 学习笔记
- yii 2.0 代码阅读 小记
- 第二章 系统设置及基本操作
- EasyTrader踩坑之旅总结
- PTA:6-2顺序表操作集(20分)
- php分页类怎么使用,PHP实现的分页类定义与用法示例
- pytorch使用模型预测_使用PyTorch从零开始对边界框进行预测
- 货币代码(ISO 4217)
- FPGA实现cameralink解码
- MTK Android LCD模块驱动
- 今日头条视频采集方法
- VSCode下载及安装
- Sam Altman 山姆奥特曼:关于生产率(工作效率)
- vue提示Named Route ‘News‘ has a default child route. When navigating to this named route...问题
- linux 32位浏览器下载,Chrome 浏览器32位、64位下载地址大全
- 爱莎天河学校体验课,探索多元文化融合的IB课程
- Vue3分页器(Pagination)
- 344. 反转字符串