Dedecms 模板中心

您现在的位置: 秀站网 > 织梦大学 > 织梦安全 >

织梦DedeCms的安全问题解决办法(安全设置)

来源:重庆时时彩独胆技巧 发布时间:2016-12-25热度: ℃我要评论
很多新手用户在使用织梦CMS程序过程中,难免会碰到挂马中毒现象,所以事先我们要对网站及服务器安全做好预防备份处理。 织梦作为国内第一大开源免费CMS程序,无疑是很多HACK研究的对象,在本身...

本文地址:http://www.helaal.com/dedecms_aq/762.html
文章摘要:织梦DedeCms的安全问题解决办法(安全设置)_织梦安全_织梦大学,承办人书法报踩刹车,斠然一概释缚焚榇憨直。

很多新手用户在使用织梦CMS程序过程中,难免会碰到挂马中毒现象,所以事先我们要对网站及服务器安全做好预防备份处理。 

织梦作为国内第一大开源免费CMS程序,无疑是很多HACK研究的对象,在本身不安全的互联网环境下,更加容易中招,DEDE官方也在很久之前就已经不再对这套系统进行什么版本升级了,安全性不单单是程序本身,也需要我们做好日常的备份和服务器安全防备;

好,废话不多说,下面整理一些比较常用的处理方案:

第一步:

安装织梦CMS后,记得一定要删除install 文件夹。

第二步:

后台登录一定要开启验证码功能(或自行编写个安全机制),将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。

扩展阅读:修改织梦默认管理员admin教程

第三步:

将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的(不定期更改一下)。 

第四步:

用不到的功能一概关闭(或者剔除/删除),比如会员、评论等,如果没有必要通通在后台关闭。

会员功能关闭:后台--系统--系统基本参数--会员设置--是否开启会员功能(是)

会员验证码开启:后台--系统--系统基本参数--互动设置--会员投稿是否使用验证码(是)

会员验证码开启:后台--系统--系统基本参数--互动设置--是否禁止所有评论(是)

第五步:

(1)以下一些是可以删除的目录/功能(如果你用不到的话): 
 

member 会员功能 【会员目录,重庆时时彩独胆技巧:一般企业站不需要】

special 专题功能 【专题功能】

tags.php 标签

a 文件夹

 

(2)管理目录以下是可以删除的文件: 

管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的

dede/file_manage_control.php 【邮件发送】

dede/file_manage_main.php 【邮件发送】

dede/file_manage_view.php 【邮件发送】

dede/media_add.php 【视频控制文件】

dede/media_edit.php 【视频控制文件】

dede/media_main.php【视频控制文件】

dede/spec_add.php、spec_edit.php【专题管理】

dede/file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】


(3)plus以下是可以删除的文件: 

删除:plus/guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;
删除:plus/task文件夹和task.php【计划任务控制文件】
删除:plus/ad_js.php【广告】
删除:plus/bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】
删除:plus/bshare.php【分享到插件】
删除:plus/car.php、posttocar.php和carbuyaction.php【购物车】
删除:plus/comments_frame.php【调用评论,存在安全漏洞】
删除:plus/digg_ajax.php和digg_frame.php【顶踩】
删除:plus/download.php和disdls.php【下载和次数统计】
删除:plus/erraddsave.php【纠错】
删除:plus/feedback.php、feedback_ajax.php、feedback_js.php【评论】
删除:plus/guestbook.php【留言】
删除:plus/stow.php【内容收藏】
删除:plus/vote.php【投票】

再有: 

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。 

第六步:

多关注dedecms官方发布的安全补丁,及时打上补丁。

第七步:

下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的. 

第八步:

可下载第三方防护插件,例如:360出品的“织梦CMS安全包” 、百度旗下安全联盟出品的“DedeCMS顽固木马后门专杀”;

第九步:

(可选)最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容文件,理论上最安全,不过维护相对来说比较麻烦。

补充:还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据!!!

扩展阅读:织梦网站数据备份步骤图解

迄今为止,我们发现的恶意脚本文件有 

plus/90sec.php

plus/ac.php 

plus/config_s.php 

plus/config_bak.php 

plus/diy.php 

plus/ii.php 

plus/lndex.php 

data/cache/t.php 

data/cache/x.php 

data/config.php 

data/cache/config_user.php 

data/config_func.php

 

大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件;

服务器方面,如果是WIN系列的服务器可以安装安全狗等相关的防护工具;

本文地址:http://www.helaal.com/dedecms_aq/762.html

    香港时时彩软件 重庆时时彩900注刷流水 江西时时彩走势图时时彩网 重庆时时彩平台源码 时时彩平台黑钱
    时时彩杀后三形态 红马时时彩软件 时时彩网站如何入侵 excel自动更新数据 投资堂炒股软件官网
    谁有好的时时彩平台 时时彩稳赚皇恩娱乐 江西时时彩三星和 时时彩不定位胆统计 时时彩易位真的稳赚
    重庆时时彩软件有用吗 金凤凰博彩平台 17年重庆时时彩骗局 加加宝时时彩软件 时时彩计划公式源码
    云南11选5走势图 新疆35选7开奖结果查询 时内蒙时时彩走势图 云南十一选五下载 彩票走势
    黑龙江11选5规则 赛车pk10开奖直播 新疆时时彩中奖规则 幸运农场选号技巧 北京新11选5走势图
    今期码报资料2017 小说txt下载 北京pk10开奖记录 河北11选5任五遗漏 韩国快乐8开奖结果
    江西十一选五最新开奖结果 万象 排列三排列五预测 江西新11选5 快乐8杀号