“dede”太脆弱了,早不用早解脫”,“DEDE安全嗎,怎么總是被入侵掛馬? ”,“天,怎么回事,又被掛馬了”經常能碰到這樣的抱怨。如果織夢網站管理系統(dedeCMS),真的那么脆弱,那么容易被掛馬,那為什么還那么多人選擇使用它?據我所知,dede管理系統是有非常多的用戶群體的?!熬W站沒有絕對的安全,只有勤勞的站長,你有抱怨的時間,還不如仔細檢查下自己的網站是否做好了安全防范措施。,西安搜推寶seo">
當前位置:首頁 > 網站建設 > 正文

dedecms織夢防范網站注入掛馬(安全設置)

搜推寶 2017-12-02 分類:網站建設 4655 0


“dede”太脆弱了,早不用早解脫”,“DEDE安全嗎,怎么總是被入侵掛馬? ”,“天,怎么回事,又被掛馬了”經常能碰到這樣的抱怨。如果織夢網站管理系統(dedeCMS),真的那么脆弱,那么容易被掛馬,那為什么還那么多人選擇使用它?據我所知,dede管理系統是有非常多的用戶群體的?!熬W站沒有絕對的安全,只有勤勞的站長,你有抱怨的時間,還不如仔細檢查下自己的網站是否做好了安全防范措施。

下面我將要告訴一個勤勞、智慧的站長安裝完dede系統后必須要做的事情:

1、 修改DEDE默認的網站后臺管理地址,請一定要將/dede,目錄改名,并且為復雜用戶名,并記住它。眾所周知,dede默認管理后臺都是,“域名/dede”,黑客是最新喜歡這種不修改默認登錄地址的網站了,多省事。

2、 請直接刪除“install”目錄,留著無用,而且還有會禍害網站安全,刪了吧!刪除系統安裝程序,這個操作時安裝所有php開源程序的共性,如joomla安裝完畢后,如果不刪除安全目錄(installation)是無法打開網站首頁的,我認為DEDE官方開發團對可以借鑒這個經驗。

3、 Dede安裝前你是否計劃過,你需要dede的那些功能系統?如果你沒有?那么現在就開始,將不需要的功能系統都刪除,在這里我引用前文“Joomla!建站SEO優化誤區(joomla建站seo建議)”中的一段話“簡化你的網站模板,減少網站功能”,功能最小化安裝使用dede系統(在滿足自己需求前提下),是你安全使用dedecms系統的前提。所有PHP開源程序安全設置都有相通之處,要學會舉一反三。你不妨可以學習本站其它開源系統的網站安全設置經驗。

下面是我整理出的一些dede站點目錄的位置,如果你不熟悉dedecms系統站點目錄結構你可以參照設置:

/member 會員功能模塊

/special專題功能

/install安裝程序

/company企業功能模塊

/plusguest/book 留言板

其它模塊,也可以不要就刪除它,上面紅色標記的,我已經安裝并做了測試確認可以直接刪除,不會影響dede正常運行,其余的文件用戶可以參考官方文檔操作。最好是在安裝DEDE系統前有計劃的,選擇不安裝,省掉后期的麻煩。我再次特別強調/install安裝程序,強烈刪除它。

4、 密碼一直是我很揪心的問題,我在前面寫joomla開源cms系列文檔中都特別多次強調過,強壯密碼,一定需要一個強壯的密碼才能起到保護網站安全的作用,否則就是一個災難。如果黑客通過注入,獲取到管理員密碼的MD5加密代碼,然后反向編譯MD5代碼,是不是會瞬間瓦解你的網站?所以,請設置一個強壯的密碼吧,強壯到讓它無法反向編譯你的密碼。請不要小覷了黑客通知的實力。

5、 黑客同志最喜歡的目錄?

黑客同志最喜歡的目錄,就是dede管理員目錄/dede,dedecms后臺的文件管理器就在這里,這里經常被黑客同志所利用,用它來掛馬,這也就是為什么在本文第一條就要強調要修改dede的網站管理地址的原因。黑客可以利用如下紅色字體文件,進行上傳木馬。這也是黑客為什么樂此不疲的不斷尋找dede后臺管理地址的原因了。

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php media_edit.php

media_main.php

請刪除紅色字體文件一切為了安全。在測試掛馬注入點的時候,還發現dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的網馬注入點,用戶可以根據網站需要刪除。這些都是黑客喜歡利用、掛馬的文件。其中DEDE后臺的SQL命令運行器,是我們常忽視的地方,如果不常用,或根本不用,毫不猶豫刪除它。

6、 拿來主義,網上流傳的經典防黑客注入方法(DEDE防注入兩方法)

一是將每個目錄添加空的index.html,防止目錄被訪問;

二是給做好網站301頁面、403頁面、404頁面可以禁止訪問某頁或某文件。

上面的方法沒有經過測試,不知是否有效,如果你正在使用或測試可行,你可以與我們交流,分享你的成功。

7、 php虛擬主機的選擇。我在joomla安裝前的準備工作中提到,“php語言開發的系統,最好的架設平臺是Linux系統”,也只有Linux才能完美發揮出php加MySQL的效率,而且,linux操作系統受到病毒影響幾率要遠遠小于windows系統的php空間。是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署,完美支持織夢網站管理系統(dedeCMS)的php虛擬主機。點擊查看dede系統演示平臺

8、 織夢網站網站內容管理系統(dedecms)開發團體也在不斷關注產品用戶的體驗度、產品的安全、穩定、bug、等問題,請用戶及時從官方網站(www.dedecms.com)獲取最新的版本,和升級補丁。讓織夢系統,為我們站長編織一張美麗的網賺之路

來源:西安搜推寶seo,轉載請注明出處!

本文地址:http://www.xrtept.com/post-41.html

發表評論: 取消回復

請填寫驗證碼
自拍偷拍国外福利,偷拍换妻,麻豆影视传媒网站观看二区,国产网红无码合集mp4,久久福利网站偷拍 壮志高飞电视剧全集在线观看| 国产纶乱视频| 国产成人综合亚洲| 第一次处破女08俄罗斯123| 好湿热花径舌探进紧致| 学生真实初次破初视频血| 多人强伦姧孕妇免费看| 免费黄色视频| 机机对机机在一起的视频试看| gogo大胆全球裸xxxx| 日本一级2019免观视频| 日本丰满大屁股少妇| 1069男同gv免费观看| av在线观看网站| 欧洲美女开放牲交视频| 在线看片免费人成视频影院看| 肉动漫在线维修| 99久久国产精品免费| 香港三香港日本三级在线播放| 畸形母爱| 勿忘我视频在线观看免费| 漂亮人妻被强中文字幕| chinese农民工嫖妓videoos| >kaylani lei HD XXX| 日本美女图片| 好妈妈8电影免费观看完整版| 亚洲影音先锋男人资源| 国产被弄到高潮正在播放| 97国产理论影院| 福利社影院在线线免费| 波多野结衣的巨乳教师| http://www.al-call.com