web建站教程
  1. 首页
  2. vuejs
  3. js
  4. 好玩
  5. seo教程
  6. 前端知识
  7. 百度echarts
  8. 更多
    php入门
    nodejs
    mockjs
    reactjs
    mysql
    wordpress
    织梦cms
    帝国cms
    git教程
    IT知识
    模板大全
    休息站

详解织梦DedeCms的安全问题优化解决办法(安全设置

721 ℃
           

很多新手用户在使用织梦cms程序过程中,难免会碰到挂马中毒现象,所以事先我们要对网站及服务器安全做好预防备份处理。

织梦作为国内第一大开源免费CMS程序,无疑是很多HACK研究的对象,在本身不安全的互联网环境下,更加容易中招,DEDE官方也在很久之前就已经不再对这套系统进行什么版本升级了,安全性不单单是程序本身,也需要我们做好日常的备份和服务器安全防备;

好,废话不多说,下面整理一些比较常用的处理方案:

第一步:安装织梦CMS后,记得一定要删除install 文件夹。

第二步:后台登录一定要开启验证码功能(或自行编写个安全机制),将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
扩展阅读:修改织梦默认管理员admin教程

第三步:将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的(不定期更改一下)。

第四步:用不到的功能一概关闭(或者剔除/删除),比如会员、评论等,如果没有必要通通在后台关闭。

会员功能关闭:后台–系统–系统基本参数–会员设置–是否开启会员功能(是)

会员验证码开启:后台–系统–系统基本参数–互动设置–会员投稿是否使用验证码(是)

会员验证码开启:后台–系统–系统基本参数–互动设置–是否禁止所有评论(是)

第五步:(1)以下一些是可以删除的目录/功能(如果你用不到的话): 

member 会员功能 【会员目录,一般企业站不需要】
special 专题功能 【专题功能】
tags.php 标签
a 文件夹

(2)管理目录以下是可以删除的文件:

管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的

dede/file_manage_control.php 【邮件发送】
dede/file_manage_main.php 【邮件发送】
dede/file_manage_view.php 【邮件发送】
dede/media_add.php 【视频控制文件】
dede/media_edit.php 【视频控制文件】
dede/media_main.php【视频控制文件】
dede/spec_add.php、spec_edit.php【专题管理】
dede/file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】

(3)plus以下是可以删除的文件:

删除:plus/guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;
删除:plus/task文件夹和task.php【计划任务控制文件】
删除:plus/ad_js.php【广告】
删除:plus/bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】
删除:plus/bshare.php【分享到插件】
删除:plus/car.php、posttocar.php和carbuyaction.php【购物车】
删除:plus/comments_frame.php【调用评论,存在安全漏洞】
删除:plus/digg_ajax.php和digg_frame.php【顶踩】
删除:plus/download.php和disdls.php【下载和次数统计】
删除:plus/erraddsave.php【纠错】
删除:plus/feedback.php、feedback_ajax.php、feedback_js.php【评论】
删除:plus/guestbook.php【留言】
删除:plus/stow.php【内容收藏】
删除:plus/vote.php【投票】

再有: 不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

第六步:多关注dedecms官方发布的安全补丁,及时打上补丁。

第七步:下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.

第八步:可下载第三方防护插件,例如:360出品的“织梦CMS安全包” 、百度旗下安全联盟出品的“DedeCMS顽固木马后门专杀”;

第九步:(可选)最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容文件,理论上最安全,不过维护相对来说比较麻烦。

补充:还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据!!!

扩展阅读:织梦网站数据备份步骤图解

迄今为止,我们发现的恶意脚本文件有

plus/90sec.php
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php

大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件;服务器方面,如果是WIN系列的服务器可以安装安全狗等相关的防护工具;

CMS网站被挂黑链应该如何解决?(如何防止黑链)

新手向织梦建站教程 手把手教你建立一个网站

织梦DEDECMS系统如何修复无法自带采集https网站问题

dede织梦模板嵌套调用与当前文章关键词相同的文

织梦DedeCms实现无限数量的交叉副栏目的方法

标签: CMS网站, 备份, 安全, 管理员, 织梦

上面是“详解织梦DedeCms的安全问题优化解决办法(安全设置”的全面内容,想了解更多关于 织梦cms 内容,请继续关注web建站教程。

当前网址:https://ipkd.cn/webs_535.html

声明:本站提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请发送到邮箱:admin@ipkd.cn,我们会在看到邮件的第一时间内为您处理!

当前位置: 网站首页 > 织梦cms
本文共计2150个字,预计阅读时长15分钟
生活小工具,收录了80多款小工具
上一篇: 推荐一款免费可商用仿宋字体——汉字之美仿宋GBK
下一篇: 推荐一款免费可商用英文字体——Atkinson Hyperlegible
x 打工人ai神器