很高兴能在CSDN和各位站长朋友分享专业知识,今天讲的重点是DEDECMS平安设置,大家应该晓得在2013年7月15日dede呈现了一个很大的平安破绽,牵连了无数站点和php空间商。在此次dede平安破绽集体迸发事情中,不幸琴岛科技也有2台效劳器收到要挟,我公司效劳器维护工程师,10分钟内就处理了这个问题,一共发现6个dede站点被害。事后检查中,发现这6个站点都是清一色的dedecms v5.6的老版本,而且连最根本的平安战略都没有做,不给害才怪。而且 dede官网这几天访问也不太顺畅,貌似也被坑了,这几天察看dede官方网站也在不连续的恢复数据。
今天23点的时分,我在dede官方论坛上理解最新的平安补丁信息,发现打不开。很是为难。织梦(dedecms)内容管理系统,这个让人又爱又恨的php开源系统,琴岛科技不止一次提示过大家,要随时跟随官方信息,即便更新版本,打平安补丁,而且琴岛科技在此之前都发过十分多的dedecms平安配置教程,希望协助客户做好防备措施。很多主机商都明令制止本人的产品运用dedecms系统,这个很是寒心。琴岛科技香港免备案的系列php虚拟主机产品,请大家放心运用,琴岛科技无论是从效劳器上,还是网站应用上,都发了十分大的精神针对dedecms系统停止优化和预防。大家能够放心运用。今天琴岛科技小编就继续针对这次dedecms平安事故,给大家带来dedecms教程。进一步给大家引见一下如何增强dedecms网站平安建立。
第一、装置的时分数据库的表前缀,最好改一下,不用dedecms默许的前缀dede_,能够改成123_,随意一个称号即可。
第二、密码,这个在任何中央、任何人都会说的一个问题,琴岛科技 小编这里,仍然再次强调,请你运用强壮密码,请您注重它,否则您将遭到惩戒。我们都晓得,dedecms内容管理系统的管理员密码是经过MD5加密的,你 晓得,他人也晓得。简单的md5字符串是很容易破解的,所以网站的密码一定要设置足够强壮,数字、字母、特殊符号组合10位以上,这样即使网站管理员口令 被强迫“爆破”,这也给他人破解md5密码加密增加难度。
第三、装好程序后务必删除install目录
第四、请直接删除“install”目录,留着无用,而且还有会祸患网站平安,删了吧!删除系统装置程序,这个操作时装置一切php开源程序的共性
第五、用不到的功用一概关闭,比方会员、评论等,假如没有必要统统在后台关闭。
第六、严防死守网站目录权限的设置,删除php执行权限,回绝避免木马的执行,以下是能够删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功用,而且最影响安全,许多HACK都是经过它来挂马的
1 file_manage_control.php
1 file_manage_main.php
1 file_manage_view.php media_add.php
1 media_edit.php media_main.php
再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
1、data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;
2、不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
3、 include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
4、删除目录执行权限。这个是官方强烈推荐的安全防范措施,请你务必重视,实现方法见:琴岛科技教你取消PHP空间目录脚本执行权限
琴岛科技我用自己的一句话概括这样的设置是:所有能够执行脚本的文件只能读,不能写,能够写入的文件却不能执行脚本,这样做的效果是尽可能的做到最严密的设置。至于设置的权限的方法在ftp工具上右击“属性”即可设置。关于权限,琴岛科技(http://www.qindaosou.net)系列免被备案php虚拟主机都已经做好策略,请您安装的时候默认权限即可,请不要随意改动默认权限,目录默认权限:文件夹755,单个文件644。
5、dede管理目录下的:
1 file_manage_control.php
2
3 file_manage_main.php
4
5 file_manage_view.php
6
7 media_add.php
8
9 media_edit.php
10
11 media_main.php
这些文件是后台文件管理器,琴岛科凭借多年青岛网站建设的案例证明,这个功能最多余,也最影响安全,许多hack都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马太方便了。一般用不上请统统删除。
第七、多关注dedecms官方发布的平安补丁,及时打上补丁。
第八、下载发布功用(管理目录下soft__xxx_xxx.php),不用的话能够删掉,这个也比拟容易上传小马的.
第九、Dedecms官网出的万能平安防护代码,登录dedecms官网论坛查看.
第十、最平安的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最平安,不过维护相对来说比拟费事。
十一,还是得经常检查本人的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得经常备份数据.
假如做好以上十一点的话,置信您的网站根本上就碉堡了,黑客想要入侵也不是那么容易的了。
94
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
