织梦DedeCMS是一款广泛使用的开源内容管理系统,但因其安全性问题频繁被攻击,本文将详细介绍八大安全措施,帮助提升DedeCMS网站的安全性。
精简设置篇
不需要的功能模块应该删除,以减少潜在的攻击面,如果不需要会员功能,可以将member文件夹删除;不需要专题功能,则删除special文件夹;不需要安装程序,则删除install文件夹,可以在每个目录下添加一个空的index.html文件,防止目录被直接浏览。
| 可删除目录列表 | 说明 |
| member | 会员功能 |
| special | 专题功能 |
| install | 安装程序 |
| company | 企业模块 |
| plus/guestbook | 留言板 |
密码设置篇
管理员账号和密码应尽量复杂,避免使用默认的admin用户名,建议将admin账号删除并新建一个复杂的管理员账号,织梦系统的数据库存储的密码是MD5加密的,因此密码复杂度越高,越不容易被破解。
| 设置项 | 建议 |
| 管理员名称 | 不要使用默认的admin,尽量复杂 |
| 管理员密码 | 长度至少8位,包含字母和数字 |
删除不必要文件列表
后台管理目录下的一些文件容易被黑客利用上传木马,建议删除以下文件:
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
dede/sys_sql_query.php(如不需要SQL命令运行器)
tag.php(如不需要tag功能)
digg.php与diggindex.php(如不需要顶客功能)
修改配置篇
为了防止黑客利用发布文档上传木马,建议在安装完成后阻止上传PHP代码,可以修改include/config_base.php文件:
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value){
if(!empty($value)){
${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
}
//检测上传的文件中是否有PHP代码,有直接退出处理
if (is_array($_FILES)) {
foreach ($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name}, 'r' );
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if ($fstr!= '' && ereg( "<?" ,$fstr)){
echo "你上传的文件中含有危险内容,程序终止处理!" ;
exit();
}
}
}
空间注意篇
请妥善保存空间的CP和FTP密码,并定期修改FTP密码,如果使用自己的服务器,务必做好服务器的安全维护。
目录篇
管理目录DEDE务必从命名,且像密码一样复杂才最好,这样可以增加黑客猜测的难度。
补丁篇
经常访问织梦官方站点,查看是否有新的安全补丁,及时打上所有可用的补丁。
权限篇
检查并设置网站目录权限,确保只给予必要的读写权限,能只给读取的,坚决不给写入;能只给写入的,坚决不给全部权限。
| 设置项 | 建议 |
| 目录读取权限 | 只读 |
| 目录写入权限 | 仅在必要时开放 |
| 执行权限 | 严格控制 |
相关问答FAQs
Q1: 如何修改DedeCMS的后台管理目录名称?
A1: 可以通过FTP登录网站根目录,将dede文件夹重命名为其他不易猜测的名称,将其改为“myadmin”,通过域名/myadmin/login.php来访问后台。
Q2: 如果发现网站被黑了怎么办?
A2: 如果发现网站被黑,首先应立即关闭网站,防止进一步损失,然后下载全站文件进行备份,使用DedeCMS顽固木马后门专杀工具进行查杀,最后清理木马并恢复网站。
通过以上八大安全措施,可以有效提升DedeCMS网站的安全性,防止被挂马或其他安全问题的发生,希望这些措施能帮助站长们更好地保护自己的网站。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1098535.html
