織夢DEDECMS安全設置指南概要提出前提:
用織夢的安全都很煩惱,經常遭遇掛馬,被掛暗鏈等事情,織夢貓也遇到過,通過百度搜索,總結了一些提升織夢安全性的辦法,通過以下設置可以顯著的提高織夢的安全性。
解決辦法:
一、基礎篇只要完成基礎篇的設置,那么恭喜你,你的織夢安全已經及格了,相反,如果你沒有按照基礎篇的做,那么你的網站岌岌可危。
1 刪除不必要的目錄安裝好織夢后,需要立即刪除install目錄,如果不需要使用會員、專題(99%的用戶都用不到),可以直接刪除member、special目錄。
2 刪除不必要的文件plus文件建議只保留如下文件:ad_js.php,count.php,list.php,search.php,view.php,其余的刪除。
plus文件夾中的文件功能如下表,如果沒用到可以刪除。
文件名 文件說明 建議 guestbook文件夾 留言板 刪除 img文件夾 圖片 刪除 task文件夾 計劃任務 刪除 ad_js.php 調用廣告,如果你的廣告不是通過后臺“廣告管理”設置的,可以刪除該文件 保留 advancedsearch.php、heightsearch.php 高級搜索,一般只用到search.php 刪除 arcmulti.php 異步方式調用指定的tag列表,用不到,刪除吧 刪除 bookfeedback.php、bookfeedback_js.php 圖書評論和評論調用文件,存在注入漏洞,不安全 刪除 car.php、posttocar.php、carbuyaction.php 購物車 刪除 comments_frame.php 調用評論,存在安全漏洞(現在一般都用第三方評論,不再用織夢自帶的評論) 刪除 count.php 統計文章閱讀次數 保留 digg_ajax.php、digg_frame.php 文章的頂踩功能 刪除 disdls.php、download.php 下載次數統計、下載功能 刪除 diy.php 自定義表單 保留 erraddsave.php 文章糾錯 刪除 feedback.php、feedback_ajax.php、feedback_js.php 評論相關功能 刪除 flink.php、flink_add.php 友情鏈接、友情鏈接添加(建議刪除,否則容易暴露模板路徑) 刪除 freelist.php 自由列表 刪除 guestbook.php 留言 刪除 list.php 動態瀏覽欄目頁 保留 mytag_js.php 自定義標簽js調用方式(如果沒用到后臺的自定義宏標記,請刪除) 刪除 qrcode.php 生成二維碼 刪除 recommend.php 信息推薦 刪除 rss.php RSS列表頁 刪除 search.php 搜索 保留 showphoto.php 顯示大圖片(圖集模型會用到) 刪除 stow.php 收藏文章 刪除 view.php 動態瀏覽文章 保留 vote.php 投票 刪除 3 修改默認后臺文件夾名稱默認的后臺通過域名/dede訪問,請修改為其他名稱,越不容易被猜出來越好,可以使用英文+數字等形式。修改方式為直接重命名dede文件夾的名稱即可。
4 后臺新建新的管理員賬戶,刪除默認的admin用戶4.1 新建管理員賬戶點擊系統->系統用戶管理->增加管理員,填寫登錄賬戶及密碼等信息,用戶組選擇‘超級管理員’
4.2 刪除默認的admin用戶
點擊系統->SQL命令行工具,運行SQL命令:delete from dede_admin where id = 1;
5 遷移data目錄到web目錄外data目錄存在比較嚴重的安全隱患,很有必要將data目錄移動到站點目錄以外。
實在沒有條件遷移到站外的同學,也請一定要將data目錄改一個名字。
二、高級篇/ 【站點上級目錄】
假如要使用后臺的目錄相關的功能需求有列出目錄的權限 //0444
/ 【站點根目錄】
需求執行和讀取權限 假如要在根目錄下面創建文件和目錄的話需求有寫入權限 //0755
/install 【安裝程序目錄】
需求有執行和讀取權限 //建議安裝完成以后刪除或者改名 //0555
/dede 【后臺程序目錄】
需求有執行權限和讀取權限 //建議安裝完成以后修正目錄名稱 //0755
/include 【主程序目錄】
需求有寫入、執行權限和讀取權限 //0755 //建議在第一次安裝后,去掉寫入權限以及修正權限(需求重寫配置文件時再暫時開啟寫入及修正權限)//0555
/member 【會員目錄】
需求執行讀取和權限 //建議去掉寫入權限以及修正權限//0555
/plus 【插件目錄】
需求有讀取、寫入和執行的權限 //建議在生成完站點地圖和RSS文件后去掉寫入權限以及修正權限 //0755
/data 【站點緩存數據等文件】
需求有讀取權限和寫入修正權限 //建議去掉執行權限//0666
/html 【HTML文檔默認目錄】
需求有讀取修正和創建權限 //建議去掉執行權限 //0666
/templets【模板目錄】
需求有讀取 修正寫入 權限 //建議去掉執行權限 //0666
/uploads 【附件目錄】
需求寫入讀取權限 //建議去掉執行權限//0666
/company 【企業黃頁程序目錄】
需求讀取和執行權限 //建議去掉寫入權限//0555
/special 【專題文件目錄】
需求執行、讀取、寫入和修正權限 //0755
/book 【書庫模塊程序目錄】
需求執行、讀取、寫入和修正權限 //0755
/ask 【問答模塊程序目錄】
需求執行和讀取權限 //建議去掉寫入權限//0555
/group 【圈子模塊程序目錄】
需求執行和讀取權限 //建議去掉寫入權限 //0555
三、至尊篇
不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。
不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除。
第七、多關注dedecms官方發布的安全補丁,及時打上補丁。
第八、下載發布功能(管理目錄下soft__xxx_xxx.php),不用的話可以刪掉,這個也比較容易上傳小馬的.
第九、DedeCms官網出的萬能安全防護代碼
為了讓大家的CMS更安全,有需要的手工在config_base.php里加上
打開
config_base.php
找到
1 //禁止用戶提交某些特殊變量 2 $ckvs = Array('_GET','_POST','_COOKIE','_FILES'); 3 foreach($ckvs as $ckv){ 4 if(is_array($$ckv)){ 5 foreach($$ckv AS $key => $value) 6 if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]); 7 } 8 }改為下面代碼
01 //把get、post、cookie里的<? 替換成 <? 02 $ckvs = Array('_GET','_POST','_COOKIE'); 03 foreach($ckvs as $ckv){ 04 if(is_array($$ckv)){ 05 foreach($$ckv AS $key => $value) 06 if(!empty($value)){ 07 ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value); 08 ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]); 09 } 10 if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]); 11 } 12 } 13 //檢測上傳的文件中是否有PHP代碼,有直接退出處理 14 if (is_array($_FILES)) { 15 foreach($_FILES AS $name => $value){ 16 ${$name} = $value['tmp_name']; 17 $fp = @fopen(${$name},'r'); 18 $fstr = @fread($fp,filesize(${$name})); 19 @fclose($fp); 20 if($fstr!='' && ereg("</?",$fstr)){ 21 echo "你上傳的文件中含有危險內容,程序終止處理!"; 22 exit(); 23 } 24 } 25 }
說在后面:做任何設置和修改前請先做好程序,數據的備份!以上就是織夢DEDECMS安全設置指南概要的全部內容,希望對大家的學習和解決疑問有所幫助,也希望大家多多支持武林網。
新聞熱點
疑難解答
