DeDeCMS安全配置

最新推荐文章于 2021-09-14 18:46:33 发布
最新推荐文章于 2021-09-14 18:46:33 发布
阅读量533 收藏
点赞数
文章标签: dedecms 安全

第一步:

安装织梦CMS后,删除install 文件夹。

第二步:

后台登录一定要开启验证码功能(或自行编写个安全机制),将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。

第三步:

将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的(不定期更改一下)。 

第四步:

用不到的功能一概关闭(或者剔除/删除),比如会员、评论等,如果没有必要通通在后台关闭。

会员功能关闭:后台--系统--系统基本参数--会员设置--是否开启会员功能(是)

会员验证码开启:后台--系统--系统基本参数--互动设置--会员投稿是否使用验证码(是)

会员验证码开启:后台--系统--系统基本参数--互动设置--是否禁止所有评论(是)

第五步:

  1. 以下一些是可以删除的目录/功能(如果你用不到的话): 

member 会员功能 【会员目录,一般企业站不需要】

special 专题功能 【专题功能】

tags.php 标签

a 文件夹

  1. 管理目录以下是可以删除的文件: 

管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的

dede/file_manage_control.php 【邮件发送】

dede/file_manage_main.php 【邮件发送】

dede/file_manage_view.php 【邮件发送】

dede/media_add.php 【视频控制文件】

dede/media_edit.php 【视频控制文件】

dede/media_main.php【视频控制文件】

dede/spec_add.php、spec_edit.php【专题管理】

dede/file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】

  1. plus以下是可以删除的文件: 

删除:plus/guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;

删除:plus/task文件夹和task.php【计划任务控制文件】

删除:plus/ad_js.php【广告】

删除: plus/bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】

删除:plus/bshare.php【分享到插件】

删除:plus/car.php、posttocar.php和carbuyaction.php【购物车】

删除:plus/comments_frame.php【调用评论,存在安全漏洞】

删除:plus/digg_ajax.php和digg_frame.php【顶踩】

删除:plus/download.php和disdls.php【下载和次数统计】

删除:plus/erraddsave.php【纠错】

删除:plus/feedback.php、feedback_ajax.php、feedback_js.php【评论】

删除:plus/guestbook.php【留言】

删除:plus/stow.php【内容收藏】

删除:plus/vote.php【投票】 

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。 

第六步:

下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的. 

迄今为止,发现的恶意脚本文件有 

plus/90sec.php

plus/ac.php 

plus/config_s.php 

plus/config_bak.php 

plus/diy.php 

plus/ii.php 

plus/lndex.php 

data/cache/t.php 

data/cache/x.php 

data/config.php 

data/cache/config_user.php 

data/config_func.php

第七步:文件夹权限设置

【站点上级目录】

假如要使用后台的目录相关的功能需求有列出目录的权限 //0444

【站点根目录】

需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限//0755

 【后台程序目录】

需求有执行权限和读取权限,建议安装完成以后修正目录名称 //0755

/include 【主程序目录】

需求有写入、执行权限和读取权限 //0755 ,建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555

/member 【会员目录】

需求执行读取和权限,建议去掉写入权限以及修正权限//0555

/plus 【插件目录】

需求有读取、写入和执行的权限 ,建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755

/data 【站点缓存数据等文件】

需求有读取权限和写入修正权限,建议去掉执行权限//0666

/html 【HTML文档默认目录】

需求有读取修正和创建权限,建议去掉执行权限 //0666

/templets【模板目录】

需求有读取 修正写入 权限,建议去掉执行权限 //0666

/uploads 【附件目录】

需求写入读取权限,建议去掉执行权限//0666

/company 【企业黄页程序目录】

需求读取和执行权限,建议去掉写入权限//0555

/special 【专题文件目录】

需求执行、读取、写入和修正权限 //0755

/book 【书库模块程序目录】

需求执行、读取、写入和修正权限 //0755

/ask 【问答模块程序目录】

需求执行和读取权限,建议去掉写入权限//0555

/group 【圈子模块程序目录】

需求执行和读取权限,建议去掉写入权限 //0555

第八步:数据库设置

不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:SELECT, INSERT , UPDATE , DELETE, CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES

禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。

Turlin1991
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
织梦dedecms短信插件_短信设置说明方法
10-14
织梦DEDECMS是一款流行的开源内容管理系统,广泛用于企业建站和信息管理。...综上所述,织梦dedecms短信插件的安装和使用可以显著提升网站的安全性和用户体验,但需要注意的是,合理配置和维护是保证其正常运行的关键。
dedecms一键完美转移wellcms工具.zip
09-28
"dede_to_wellcms"可能是一个包含配置文件或辅助脚本的目录,用于支持主脚本的运行。 在进行数据迁移时,注意以下几点: - 在迁移前备份原始数据,以防意外情况发生。 - 检查源站和目标站的环境设置,确保它们兼容...
Dedecms网站的安全设置
linhui03的博客
07-24 483
1,  把网站根目录下的install文件夹删除; 2,  如果没使用到专题功能,可以把special文件夹也删除; 3,  如果没使用到会员功能,可以把menber文件夹删除掉; 4,  修改网站后台管理目录,最后是在ftp上面修改,直接把网站根目录下的dede文件夹重命名,名称随便取; 5,  把data文件夹下的common.inc.php的文件权限修改为liunx下644或者可读,
织梦dedecms的一些基本的安全设置
07-24 373
织梦dedecms在站长圈是出了名的,简单易用不复杂,还有更好的seo优化,但是织梦的安全性相比其他CMS程序就差太多了,不过还是很多站长并未抛弃它,既然知道安全存在问题,那么我们就要给它做一些安全性的设置是毋须质疑的了, 既然决定继续使用,那么我们就来看看如何提高织梦cms的安全性吧。 1.在安装程序的界面,最好将默认的数据表前缀dede_修改其他的,且默认的管理员登录帐号不要使用admin
织梦dedecms后台安全性设置大全
Enweitech Software Works
07-14 2034
一个网站能不能稳定的发展下去与网站的安全性有着密不可分的联系,如果我们的网站天天被黑客骚扰,被黑客挂马,轻则影响我们网站在搜索引擎的排名和权重,重则被K站或者窃取网站私密资料进而给你带来资金方面的损失。所以网站的安全性对于各位站长来说是非常重要的。今天小浪给大家分享一下,大家熟知的织梦开源程序如何进行安全性设置。 1、网站程序安装成功以后,我们要删除安装文件  install; 2、把
Dedecms安全设置
hunkxia的专栏
07-07 1039
最近一段时间基于DEDECMS做的网站,很多人都被黑了,我的小站也不幸中招了,没办法,只能上去做点安全防范工作了。 1. 打补丁,地址: http://www.dedecms.com/pl/ 2.Linux文件安全设置: 针对部分文件夹,去掉可写权限 chmod -R 555 ask data dede include plus images templets
织梦DEDECMS系统的安全优化设置及漏洞修复大全_防止网站被黑(持续更新)
都说了要微辣
09-09 3423
织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的! 安全设置一:删文件 安装完成后会有一些文件,可以说是冗余文件...
kaixin.zip_V2 _酒店官网dedecms
最新发布
09-21
DEDECMS V5.7 SP1是DEDECMS的一个稳定版本,具有良好的安全性和性能。它支持生成静态HTML页面,这有助于提高网站的加载速度和搜索引擎优化。此外,系统内预装了采集侠V2.7插件,这是一个强大的数据采集工具,允许...
dedecms实现shtml包含的实现方法__1.docx
10-10
需要注意的是,SHTML 的使用涉及到服务器配置,确保服务器支持SSI功能,并且正确设置相关的安全措施,例如限制可包含文件的路径,防止恶意的文件包含攻击。此外,对于大量用户访问的网站,还可以考虑使用缓存技术,...
织梦dedecms隐藏内容付费查看可见插件
09-19
值得注意的是,为了确保用户支付过程的安全,个人支付插件需要与DEDECMS隐藏内容付费插件无缝对接,这通常涉及到API接口的配置。同时,网站管理员应关注支付流程的用户体验,避免过于复杂的支付步骤,以免影响转化率...
设置织梦dedeCMS安全
zxy840552216的博客
09-14 225
dedeCMS安全性相比其他CMS程序就差了很多它的安全性问题是毋须质疑的,看看互联网上存在多少使用织梦CMS建站的网站就知道了,DEDECMS的易用在站长圈是出了名了,不过这还是让无数站长无法去舍弃它,那既然无法更换,那么索性便看看如何提供织梦CMS的安全性,这样也是相对来说解决了织梦的安全性问题,其实这也是SEO的一部分,为什么这么说?如果网站的安全性差了,就容易被挂黑链,而被挂黑链就会让网站处于一种不稳定的状态下,这会影响最终的SEO效果,所以这是非常重要的一环,下面不懂按照织梦CMS搭建网站的..
如何做好dedecms(织梦)的安全设置
南三方---网站设计开发录
06-07 553
三国神隐记:http://www.yitian.cc/sanguoshenyinji/
手把手教您做 dedecms(织梦)网站安全防护设置
程序员
12-08 1207
dedecms织梦做为国内网站使用量最多的网站后台管理系统之一,但是织梦的网站漏洞也是非常的多,经常会遇到网站被黑,被挂病毒,那么织梦dedecms该如何做安全防护呢,下面手把手教您做 dedecms(织梦)网站安全防护设置 1、修改织梦cms系统默认的admin用户名 和 默认密码admin 如下图所示,在织梦核心》系统用户管理》点击更改》在用户密码处填写需要更改的新密码 在织梦后台核心》数据库内容替换》选择 dede_admin表中的userid字段》被替换内容写 织梦默认用...
dedecms /plus/feedback_ajax.php、/templets/feedback_main.htm、/templets/feedback_edit.htm XSS && SQL I...
weixin_33882443的博客
05-16 365
catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考   1. 漏洞描述 通过该漏洞可以注入恶意代码到评论标题里,网站管理员在后台管理用户评论时触发恶意代码,直接危及到网站服务器安全 Relevant Link: http://skyhome.cn/dedecms/367.html http:...
dedecms tpl.php,DedeCms 常用函数参考:动态模板类
weixin_31978735的博客
03-23 158
DedeCms V5.3 常用函数参考:动态模板类核心类文件include/dedetemplate.class.php用途:用于非核心模块的动态页面或列表页的模板解析,如:member/content_list.php ,通常是在 datalistcp.class.php 中使用,这个类在动态运行的情况下,由于本身是把模板编译成PHP的,因此性能上会优级于旧的解析类,这个方法将在未来版本中作为通...
dedecms tpl.php,织梦DedeCms安全问题如何优化
weixin_35075144的博客
03-23 251
织梦DedeCms安全问题如何优化?很多新手用户在使用织梦CMS程序过程中,难免会碰到挂马中毒现象,所以事先我们要对网站及服务器安全做好预防备份处理。推荐学习:织梦cms织梦作为国内第一大开源免费CMS程序,无疑是很多HACK研究的对象,在本身不安全的互联网环境下,更加容易中招,DEDE官方也在很久之前就已经不再对这套系统进行什么版本升级了,安全性不单单是程序本身,也需要我们做好日常的备份和服务...
dedecms被注入
____
07-04 520
dedecms这一套程序太火爆了,但是他的sql都是直接拼接的,经常被注入。 GET //plus/erraddsave.php?dopost=saveedit&a=b&arrs 1[]=99&c=d&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=1
erraddsave.php,plus/erraddsave.php · 辉辉菜/三强源码 - Gitee.com
weixin_42544663的博客
03-22 197
/**** 错误提交** @version $Id: erraddsave.php 1 15:38 2010年7月8日Z tianya $* @package DedeCMS.Site* @copyright Copyright (c) 2007 - 2010, DesDev, Inc.* @license http://help.dedecms...
erraddsave.php,dede/erraddsave.php · jake/alazixun - Gitee.com
weixin_39654465的博客
03-22 91
/*** 纠错管理** @version $Id: erraddsave.php 1 19:09 2010年7月12日Z tianya $* @package DedeCMS.Administrator* @copyright Copyright (c) 2007 - 2010, DesDev, Inc.* @license http://hel...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值