第一步:
安装织梦CMS后,删除install 文件夹。
第二步:
后台登录一定要开启验证码功能(或自行编写个安全机制),将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
第三步:
将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的(不定期更改一下)。
第四步:
用不到的功能一概关闭(或者剔除/删除),比如会员、评论等,如果没有必要通通在后台关闭。
会员功能关闭:后台--系统--系统基本参数--会员设置--是否开启会员功能(是)
会员验证码开启:后台--系统--系统基本参数--互动设置--会员投稿是否使用验证码(是)
会员验证码开启:后台--系统--系统基本参数--互动设置--是否禁止所有评论(是)
第五步:
- 以下一些是可以删除的目录/功能(如果你用不到的话):
member 会员功能 【会员目录,一般企业站不需要】
special 专题功能 【专题功能】
tags.php 标签
a 文件夹
- 管理目录以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
dede/file_manage_control.php 【邮件发送】
dede/file_manage_main.php 【邮件发送】
dede/file_manage_view.php 【邮件发送】
dede/media_add.php 【视频控制文件】
dede/media_edit.php 【视频控制文件】
dede/media_main.php【视频控制文件】
dede/spec_add.php、spec_edit.php【专题管理】
dede/file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】
- plus以下是可以删除的文件:
删除:plus/guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;
删除:plus/task文件夹和task.php【计划任务控制文件】
删除:plus/ad_js.php【广告】
删除: plus/bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】
删除:plus/bshare.php【分享到插件】
删除:plus/car.php、posttocar.php和carbuyaction.php【购物车】
删除:plus/comments_frame.php【调用评论,存在安全漏洞】
删除:plus/digg_ajax.php和digg_frame.php【顶踩】
删除:plus/download.php和disdls.php【下载和次数统计】
删除:plus/erraddsave.php【纠错】
删除:plus/feedback.php、feedback_ajax.php、feedback_js.php【评论】
删除:plus/guestbook.php【留言】
删除:plus/stow.php【内容收藏】
删除:plus/vote.php【投票】
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
第六步:
下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
迄今为止,发现的恶意脚本文件有
plus/90sec.php
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php
第七步:文件夹权限设置
【站点上级目录】
假如要使用后台的目录相关的功能需求有列出目录的权限 //0444
【站点根目录】
需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限//0755
【后台程序目录】
需求有执行权限和读取权限,建议安装完成以后修正目录名称 //0755
/include 【主程序目录】
需求有写入、执行权限和读取权限 //0755 ,建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555
/member 【会员目录】
需求执行读取和权限,建议去掉写入权限以及修正权限//0555
/plus 【插件目录】
需求有读取、写入和执行的权限 ,建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755
/data 【站点缓存数据等文件】
需求有读取权限和写入修正权限,建议去掉执行权限//0666
/html 【HTML文档默认目录】
需求有读取修正和创建权限,建议去掉执行权限 //0666
/templets【模板目录】
需求有读取 修正写入 权限,建议去掉执行权限 //0666
/uploads 【附件目录】
需求写入读取权限,建议去掉执行权限//0666
/company 【企业黄页程序目录】
需求读取和执行权限,建议去掉写入权限//0555
/special 【专题文件目录】
需求执行、读取、写入和修正权限 //0755
/book 【书库模块程序目录】
需求执行、读取、写入和修正权限 //0755
/ask 【问答模块程序目录】
需求执行和读取权限,建议去掉写入权限//0555
/group 【圈子模块程序目录】
需求执行和读取权限,建议去掉写入权限 //0555
第八步:数据库设置
不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:SELECT, INSERT , UPDATE , DELETE, CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。