你不得不知的織夢cms安全性設置常識

2024-07-12 08:42:22

字體：大中小

來源：轉載

供稿：網友

用過織夢cms的朋友了,這里就不多說了,織夢cms相對來說還是比較簡單易用的,至于織夢cms的安全性如何,是否存在漏洞,這個問題來講是不可避免的,當然了,這里也不是說織夢cms不好,再強大的開源系統,存在漏洞也是可能的,關鍵問題是,存在漏洞,我們如何解決,在織夢的安全性問題上,我們又該如何是好,找到解決辦法才是根本.

思源曾在《織夢cms網站安全性如何設置？》一文中,簡短概述了織夢cms安全性設置的一般做法,在此,針對織夢cms安全性問題上,再補充一些,希望對用織夢建站的站長朋友們一些幫助.

織夢cms安全性設置【加強版】

1、安裝dedecms時,數據庫的表前綴,最好改一下,不要用dedecms默認的前綴dede_,可以改成ljs_,隨便一個無規律的、難猜到的前綴即可.

2、織夢cms后臺登錄一定要開啟驗證碼功能,將默認管理員admin刪除,改成一個自己專用的,復雜點的賬號,管理員密碼一定要長,至少8位,而且字母與數字混合.

3、裝好程序后務必刪除install目錄.

4、將dedecms后臺管理默認目錄名dede改掉,改復雜一點的目錄.

5、用不到的功能一概關閉,比如會員、評論等功能,如果沒有必要通通在后臺關閉.

6、以下一些是可以刪除的目錄/功能(如果你用不到的話)：member(會員功能)、special(專題功能)、company(企業模塊)、plus/guestbook(留言板).

迄今為止,我們發現的惡意腳本文件有:plus/ac.php、plus/config_s.php、plus/config_bak.php、 plus/diy.php、plus/ii.php、plus/lndex.php、data/cache/t.php、data/cache /x.php、data/config.php、data/cache/config_user.php、data/config_func.php等等；

大多數被上傳的腳本集中在plus、data、data/cache三個目錄下,請仔細檢查三個目錄下最近是否有被上傳文件.

7、盡可能的使用Linux主機純PHP空間,Windows主機能運行ASP就多一份危險.

8、后臺登錄管理不要用admin為用戶名可以改成其他的。

9、data/common.inc.php文件屬性(Linux/Unix)設置為644或(Windows NT)設置為只讀.

10、針對uploads、data、templets 三個目錄做執行php腳本限制.

11、不安裝來路不明的模板,或者其他需要上傳到FTP下的文件,要安裝先殺毒再安裝.

12、用最新版的織夢cms程序,就算不是最新也一定要時刻關注官方發布的補丁及時打上補丁.

13、能不用會員系統最好不要用,可以直接刪除member 會員文件夾,后臺關閉會員功能,實在要用一定要設置是否允許會員上傳非圖片附件設置為否對用戶進行嚴格限制因為有很多垃圾注冊機一天注冊很多用戶名.

虛擬主機/空間配置目錄執行php腳本限制方法:Apache環境和nginx環境的兩種設置方法

對uploads、data、templets 三個目錄做執行php腳本限制,就算被上傳了木馬文件到這些文件夾,也是無法運行的,所以這一步很重要,一定要設置.

在配置前需要確認你的空間是否支持.htaccess和rewrite,該方法基于.htaccess文件中使用rewrite來達到禁止指定腳本的運行效果.

1、Apache環境規則內容如下:Apache執行php腳本限制把這些規則添加到.htaccess文件中.

RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php)$ – [F]

2、nginx環境規則內容如下：nginx執行php腳本限制

LNMP有一個缺點就是目錄權限設置上不如Apache,有時候網站程序存在上傳漏洞或類似pathinfo的漏洞從而導致被上傳了php木馬,而給網站和服務器帶來比較大危險,建議將網站目錄的PHP權限去掉,當訪問上傳目錄下的php文件時就會返回403錯誤,首先要編輯nginx的虛擬主機配置,在fastcgi的location語句的前面按下面的內容添加: