DedeCMS V5.3/V5.5/V5.7 安全设置指南
目录权限设置
1、不建议将栏目目录设置在根目录:这样进行安全设置会十分麻烦,默认情况下,安装完成后的目录设置如下:
| 目录名 | 权限设置 |
| data、templets、uploads、a或5.3的html目录 | 可读写,不可执行 |
| special目录(不需要专题) | 删除或设置为可读写,不可执行 |
| include、member、plus、后台管理目录 | 可执行脚本,可读,但不可写入 |
2、删除install目录:虽然已经进行了严格处理,但为了安全起见,建议删除该目录。
数据库权限设置
1、独立MySQL用户帐号:不要使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限包括:
| 权限类型 | 权限内容 |
| SELECT, INSERT, UPDATE, DELETE | 数据操作 |
| CREATE, DROP, INDEX, ALTER, CREATE TEMPORARY TABLES | 表操作 |
由于DedeCMS没有使用存储过程,务必禁用FILE、EXECUTE等执行存储过程或文件操作的权限。
如何设置目录的权限?
对于Linux用户和IIS用户,可以分别采用以下方法:
Linux用户
1、设置目录为只读:
chmod R 444 /path/to/directory
2、设置目录不允许执行脚本:
find /path/to/directory type d exec chmod 000 {} ;
IIS用户
1、设置目录为只读:右键目录 > 属性 > 安全 > 编辑 > 选择用户 > 拒绝写入。
2、设置目录不允许执行脚本:在Web.config中添加:
<Directory "D:dedecmswwwuploads">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
Windows 2003下Apache配置示例
1、创建本地用户:计算机管理 > 本地用户和组 > 创建帐户(如DedeApache,密码DedeApachePWD),加入guests组。
2、设置服务登录:打开开始 > 管理工具 > 本地安全策略 > 用户权限分配 > 作为服务登录 > 添加DedeApache用户。
3、配置Apache服务:计算机管理 > 服务 > 找到apache2.2 > 停止服务 > 属性 > 登录 > 切换到DedeApache帐户。
4、赋予权限:赋予DedeApache帐户对安装目录和web目录的可读写权限,去除其他权限。
FAQs
1、为什么建议删除install目录?:尽管install目录在安装后已进行处理,但为了最大程度上避免潜在的安全隐患,建议删除该目录,删除后,攻击者将无法通过此目录获取敏感信息或执行恶意操作。
2、如何确保DedeCMS的数据安全?:确保数据安全需要多方面的措施,除了正确设置目录和数据库权限外,还应定期备份数据,使用强密码策略,开启验证码功能,并及时更新系统补丁,监控服务器日志,及时发现并处理异常活动也是保障数据安全的重要手段。
| 安全设置项目 | V5.3 | V5.5 | V5.7 |
| 系统设置 | |||
| 更改默认管理员账号 | √ | √ | √ |
| 设置复杂密码 | √ | √ | √ |
| 启用HTTPS | √ | √ | √ |
| 数据库安全 | |||
| 数据库密码加密 | √ | √ | √ |
| 数据库备份 | √ | √ | √ |
| 文件权限 | |||
| 修改目录权限 | √ | √ | √ |
| 文件权限检查 | √ | √ | √ |
| 用户权限 | |||
| 用户角色管理 | √ | √ | √ |
| 权限分配 | √ | √ | √ |
| 内容安全 | |||
| 内容审核机制 | √ | √ | √ |
| 防止SQL注入 | √ | √ | √ |
| 安全插件 | |||
| 安装官方安全插件 | √ | √ | √ |
| 插件安全更新 | √ | √ | √ |
| 其他设置 | |||
| 限制登录尝试次数 | √ | √ | √ |
| 设置IP访问限制 | √ | √ | √ |
| 关闭不必要的服务 | √ | √ | √ |
注意:表格中的“√”表示该安全设置在该版本的DedeCMS中是推荐的或可用的,不同的版本可能会有所差异,具体设置时应参考官方文档。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1189953.html
