DEDECMS的一些安全问题

最新推荐文章于 2021-09-14 18:46:33 发布
最新推荐文章于 2021-09-14 18:46:33 发布
阅读量187 收藏
点赞数
分类专栏: CMS 文章标签: QQ 编程 CMS 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dangelrose/article/details/83498442
版权

最近忙于谷百优大赛,搞得我都很少写文章了,不过因为某些事情最近频繁使用dedecms,慢慢的由不熟悉变得比较熟悉了,期间也因为自己的疏忽被 人入侵挂马了(那个站的词是一个暴利站竞争强所以导致不少恶性竞争),所以又一些经验可以分享一下。我的谷百优参赛站是谷百优大米有兴趣赞助几个友情链接 的可以联系我。呵呵,下面正式进入我们的正题!

  首先在这里先要鄙视一下那些所谓的黑客,基本上都是一群只会拾人牙慧的垃圾,高手发布了一些教程漏洞,然后找几个软件按图索骥黑了几个网站就把 自己封为xx黑客,还要给自己弄一个好像很牛叉却很非主流的代号,然后就不可一世了。什么叫做黑客,那些脚本小子会编程么?有自我探索能力么?能静下心来 分析问题么?有万千依靠自己发现漏洞么?

  其他的不想说太多,只是为网络上存在这群人感到可悲。我不是高手,我也是菜鸟,对网络安全也懂得不多,这里只发一些我所认为的一些安全措施,太深奥的我也不会,所以这个教程应该对菜鸟朋友比较实用。

  DedeCMS是一款比较常用的CMS,这里我们以这个作为例子简单介绍一些增强网站安全性的措施。

  第一、安装过程中,数据库表明前缀如果没有特殊必要,最好更改一下,比如dedecms的前缀是dede_,那么你可以修改为xsd_一些其他的名称;

  第二、安装过程中的用户名不要使用默认的admin、root、administration等一些常用的名称,换一个吧;

  第三、管理员密码:不要为了省心用自己的名字或者QQ号码之类的,那些无聊的黑客喜欢“社会工程学”在那里瞎猜,说不定还真被人捡到死耗子了; 我的一个网友胖子告诉我一个可以进入的DEDECMS站,PR3,管理员账号既然是admin,更可笑的是密码就是123456,密码最好字母数字混合, 大小写字母都有,8位以上,加上一些符号更好了。

  第四、管理后台目录名称,dedecms的登录后台是根目录下的DEDE目录,我用过一些阿D工具包之类的黑客软件,那些软件都是收录一些数据 去猜测你的管理后台的,换一个吧,而其最好换一个迷惑一点的,比如dedecms目录下还有一些比如member之类的目录,你可以把dede修改为 members目录之类的名称。

  第五、其他目录的处理,install删掉或者改为其他名称,还有其他目录由于服务器安全性不够高的缘故会导致爆出目录,例如输 入:http://www.xxxx.com/templets(xxx是你的域名)会曝出入下图,对于这样的问题只要在这样的目录加一个 index.html的文件即可解决。

转载自www.gubaiyoudm.com 

dangelrose
关注
专栏目录
dedecms织梦安全设置漏洞修复大全
sqk210的博客
10-26 1460
  删除member special install 打开plus文件夹除了下面几个文件 其他删除 Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,...
web安全测试环境搭建-DedeCMS织梦
最新发布
qq_58085131的博客
04-18 451
在进行渗透学习过程中,直接渗透网上的目标可能会触犯法律,通过自己搭建本地的测试环境可以避免潜在的法律风险。在本地测试环境中进行实验可以确保你的操作不会影响到其他网络设备和数据安全,有了本地测试环境,你可以随时进行实践和实验,提高自己的渗透测试技能。通过不断实践,你可以更加熟悉各种渗透测试工具和技巧,提高应对实际网络安全威胁的能力。DedeCMS织梦内容管理系统)是一款基于PHP+MySQL技术开发的开源CMS系统。它以其强大的功能和易用性受到了广大用户的喜爱。
织梦DedeCms安全问题解决办法(安全设置)
林中明月间丶
06-21 360
https://www.xiuzhanwang.com/dedecms_aq/762.html 废话不多说,下面整理一些比较常用的处理方案: 第一步: 安装织梦CMS后,记得一定要删除install 文件夹。 第二步: 后台登录一定要开启验证码功能(或自行编写个安全机制),将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。 扩展阅读:修改织梦默认管理员admin教程 第三步: 将dedecms后台管理默认目录名dede改掉,随便改
设置织梦dedeCMS安全
zxy840552216的博客
09-14 245
dedeCMS安全性相比其他CMS程序就差了很多它的安全问题是毋须质疑的,看看互联网上存在多少使用织梦CMS建站的网站就知道了,DEDECMS的易用在站长圈是出了名了,不过这还是让无数站长无法去舍弃它,那既然无法更换,那么索性便看看如何提供织梦CMS安全性,这样也是相对来说解决了织梦安全问题,其实这也是SEO的一部分,为什么这么说?如果网站的安全性差了,就容易被挂黑链,而被挂黑链就会让网站处于一种不稳定的状态下,这会影响最终的SEO效果,所以这是非常重要的一环,下面不懂按照织梦CMS搭建网站的..
织梦Dedecms教程:针对织梦安全问题的解决办法
xsdmov的博客
07-03 434
dedecms这套程序,虽然能够快速建站,但安全问题也是非常多的。dede官方也在很久之前就已经不再对这套系统进行什么版本升级了,最多就是一些补丁修复,下面‘织梦模板之家’针对使用dede的新手站长朋友们整理了一些比较常用的处理办法。 第一步: 安装Dede的时候数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成一个无规律的、难猜到的前缀即可(若
DEDECMS网站安全性的设置方法
zxy840552216的博客
05-10 135
在2012年3月份就有关于织梦cms系统被植入后门的报道,而黑客(hacker)可通过此后门直接获得网站的控制权限,获取存储在服务器上的文件和数据库。这对网站来说,构成了极大的危险。那么织梦cms网站的安全性如何设置呢?大致总结了以下三点,虽然不敢说百分百保证网站不被攻击,至少不会那么容易被攻击。 1、织梦cms后台管理目录名以及用户名和密码的修改 修改织梦cms后台的管理目录名(一般默认都是dede文件名,你可以把它改成加密的文件名,不过登录的时候,就显得麻烦,谁也记不住那么长的一串字符,不过为了安全
DEDECMS5.7后台getshell1
08-03
该漏洞的成因是DEDECMS 5.7后台在上传文件时的安全检查不够严格。在uploadsafe.inc.php文件中,有一个函数用于检查上传文件的扩展名,但是该函数存在一些缺陷。首先,该函数使用preg_match函数来检查文件扩展名,...
DedeCMS 存储型xss漏洞1
08-03
然而,如同任何软件一样,DedeCMS 也存在安全问题。在本文中,我们将深入探讨一个特定的存储型 XSS(跨站脚本)漏洞,该漏洞存在于DedeCMS 的会员功能组件 `shops_delivery.php` 中的 `des` 参数。 ### 漏洞概述 ...
dedeCMS插件-免费采集伪原创发布推送插件
03-04
它通过智能算法对采集的文章进行修改,生成看似原创的内容,避免了直接复制可能导致的版权问题,同时增加了网站内容的独特性,有利于提升搜索引擎对网站的评价。 **四、自动发布** 自动发布功能可以定时或实时地将...
Dedecms存在储存型跨站脚本漏洞1
08-03
标题提及的"Dedecms存在储存型跨站脚本漏洞1"主要涉及到的是Dedecms网站管理系统的一个安全问题,具体来说,这是一个由于程序代码过滤不足导致的存储型跨站脚本( Stored Cross-Site Scripting, XSS )漏洞。Dedecms...
DEDE一些必要的修改,以提高安全
xiyanwushi的专栏
07-09 1199
第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_。 第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。 第三、装好程序后务必删除install目录 第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。 第六.修改系统的后台目录,把根目录下的DEDE改为自定义名称 第七.修改DATA文件夹的名
织梦dedecms后台安全性设置大全
Enweitech Software Works
07-14 2057
一个网站能不能稳定的发展下去与网站的安全性有着密不可分的联系,如果我们的网站天天被黑客骚扰,被黑客挂马,轻则影响我们网站在搜索引擎的排名和权重,重则被K站或者窃取网站私密资料进而给你带来资金方面的损失。所以网站的安全性对于各位站长来说是非常重要的。今天小浪给大家分享一下,大家熟知的织梦开源程序如何进行安全性设置。 1、网站程序安装成功以后,我们要删除安装文件  install; 2、把
dede织梦数据提交csrf请求校验
underclound的博客
01-09 1729
前言 很多人喜欢直接在前端写ajax向后台指定地址提交数据,这样的做法过于草率,当时可能比较省事,后面付出的代价必定是惨痛的。笔者曾“有幸”经历过几次这样的跨域攻击,服务器遇到来自四面八方的海量请求,瞬间崩溃,日志显示请求来自不同国家和城市,这样一来常用的IP火墙策略收效甚微。最终发现,服务器诸多接口安全性过低,省去了诸多校验,看似化繁为简,实则漏洞百出,攻击者在网上收集“肉鸡”,同时向指定服
织梦安全问题
u014391889的博客
04-03 1331
一、安装设置 1、默认的后台模块中心的如下图所示。 2、这里除了"友情链接"模块其他都可以删掉。在后台可以先卸载再删除。 3、如果是一开始就不想要的话,安装版plus目录下进行如下操作。 删除:guestbook文件夹【留言板,后面我们安装更合适的留言本插件】; 删除:task文件夹和task.php【计划任务控制文件】 删除:ad_js.php【广告】 删除:bookf
dedecms 开启会员功能
qq_36663951的博客
08-28 1800
利用DedeCms最新漏洞入侵网站
12-05 1854
     DedeCms是目前网络上比较流行的一款PHP整站程序,中文名为“织梦内容管理系统”。最近,DedeCms出现了一个严重的漏洞,黑客通过漏洞可以得到网站的物理路径,并且能够曝出管理员账户名和密码,最为恐怖的是可以直接向服务器写入Webshell,而不必通过登录网站后台。到底是什么漏洞这么厉害,黑客是如何达到目的的,让我们来一探究竟吧。      漏洞成因      问题出在DedeC...
dedecms网站入侵拿webshell方法总结
12-05 1258
dedecms网站入侵拿webshell方法 dedecms现已广泛流传,对其安全问题不易忽视!了解入侵方法做好网站安全措施。... dedecms网站入侵拿webshell方法 文章作者:udb311 转载请注明:http://www.hackline.net/ 1、注入漏洞 存在注入地址:在域名下输入plus/digg_frame.php?action=good&id=1...
DedeCMS网站搭建完整教程
12-05 642
今天在这里我们学习下如何使用DedeCMS系统搭建一个自己的网站,这里我们结合一个实例来具体说明网站的整个搭建的流程,并结合一些基本的技术讲解进一步阐述DedeCMS系统用于网建的强大之处。 在学习搭建网站之前,我们需要了解网站建设的几个大步骤:1.网站规 <script type="text/javascript"><!-- ...
Dedecms源码文件夹目录解释说明-新手教程必看
12-12 514
Dedecms目录介绍: /include目录 程序核心目录 config_base.php 环境定义文件。用于检测系统环境,定义工作目录,保存数据库链接信息,引入常用函数等,建议不要修改。 config_hand.php 系统配置文件。定义系统常用的配置信息定义,可从后台管理直接生成该文件。 config_passport.php 通行证文件 config_rglobal...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值