详细的DedeCMS(织梦)目录权限安全设置教程

5 篇文章 0 订阅

鉴于我们不少客户都是让我们用织梦进行模板建站,so,我们在日常的操作过程中根据网络中已有的教程资料总结了一套安全防护的详细教程 ,大家有好的可以评论补充

/ 【站点上级目录】

假如要使用后台的目录相关的功能需求有列出目录的权限 //0444

/ 【站点根目录】

需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限 //0755

/install 【安装程序目录】

需求有执行和读取权限 //建议安装完成以后删除或者改名 //0555

/dede 【后台程序目录】

需求有执行权限和读取权限 //建议安装完成以后修正目录名称 //0755

/include 【主程序目录】

需求有写入、执行权限和读取权限 //0755 //建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555

/member 【会员目录】

需求执行读取和权限 //建议去掉写入权限以及修正权限//0555

/plus 【插件目录】

需求有读取、写入和执行的权限 //建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755

/data 【站点缓存数据等文件】

需求有读取权限和写入修正权限 //建议去掉执行权限//0666

/html 【HTML文档默认目录】

需求有读取修正和创建权限 //建议去掉执行权限 //0666

/templets【模板目录】

需求有读取 修正写入 权限 //建议去掉执行权限 //0666

/uploads 【附件目录】

需求写入读取权限 //建议去掉执行权限//0666

/company 【企业黄页程序目录】

需求读取和执行权限 //建议去掉写入权限//0555

/special 【专题文件目录】

需求执行、读取、写入和修正权限 //0755

/book 【书库模块程序目录】

需求执行、读取、写入和修正权限 //0755

/ask 【问答模块程序目录】

需求执行和读取权限 //建议去掉写入权限//0555

/group 【圈子模块程序目录】

需求执行和读取权限 //建议去掉写入权限 //0555

 

DEDE有很多漏洞都是出自plus文件夹下的文件,网上有很多挂马工具都有自动扫描网站PLUS目录功能用来匹配漏洞文件,因此为了避免被漏洞入侵,我们可以重命名PLUS文件夹,并将里面无用的文件都清理干净,DEDE重命名PLUS目录需要改动对应关系,方法如下


修改inlclude文件夹下common.inc.php 187行

    //插件目录,这个目录是用于存放计数器、投票、评论等程序的必要动态程序
    $cfg_plus_dir = $cfg_cmspath.'/plus';


然后直接修改这里的名称就可以了,改成你要的名称

 

 

织梦网站功能比较多,但是有一些会用不到,为了网站安全减少漏洞需要删除用不到的文件:

 

1、member目录 【会员目录,一般企业站不需要】

 

2、special目录 【专题功能】

 

3、plus文件夹下,打开plus文件夹,我们需要删除:

 

guestbook文件夹 【留言板】

task文件夹 【计划任务控制文件】

ad_js.php 【广告程序】

bookfeedback.php和bookfeedback_js.php 【图书评论和评论调用文件,存在注入漏洞,不安全】

bshare.php 【分享到插件】

car.php、posttocar.php和carbuyaction.php 【购物车】

comments_frame.php 【调用评论,存在安全漏洞】

digg_ajax.php和digg_frame.php 【顶踩】

download.php和disdls.php 【下载和次数统计】

erraddsave.php 【纠错】

feedback.php、feedback_ajax.php、feedback_js.php 【评论】

guestbook.php 【留言】

stow.php 【内容收藏】

vote.php 【投票】

 

只需保留count.php【统计点击数】 diy.php【自定义表单】list.php【列表页】view.php【文章页】search.php【搜索页】flink.php  flink_add.php【友情链接】

 

4、dede文件夹下我们需要删除:

 

以file_xx .php开头的系列文件及tpl.php     【文件管理器,安全隐患很大】

soft_add.php、soft_config.php、soft_edit.php    【软件下载类,存在安全隐患】

mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.php   【邮件发送】

media_add.php、media_edit.php、media_main.php    【视频控制文件】

以story_xxx.php开头的系列文件   【小说功能】

ad_add.php、ad_edit.php、ad_main.php    【广告添加部分】

cards_make.php、cards_manage.php、cards_type.php   【点卡管理功能文件】

以co_xx  .php开通的文件    【采集控制文件】

erraddsave.php    【纠错管理】

feedback_edit.php、feedback_main.php    【评论管理】

以group_xx .php开头的系列php文件    【圈子功能】

plus_bshare.php    【分享到管理】

以shops_xx .php开头的系列文件  【商城系统】

spec_add.php、spec_edit.php    【专题管理】

以templets_xx .php开头的系列文件    【模板管理】

vote_add.php、vote_edit.php、vote_getcode.php    【投票模块】

 

另外,如果出现首页被篡改的情况 建议不要使用虚拟主机 虚拟主机安全系数非常低 建议直接使用服务器 另外安装云锁等安全工具 开启防注入等安全功能 把有问题网站核心替换掉 基本就解决问题了 被黑的可能性就降低了

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值