織夢CMS網站安全設置教程,做好這些織夢安全翻三 dedecms程序非常簡單易用,也是國內被使用最多的一套開源cms程序,10個企業站里面7個都是dede。但是經常用織夢的朋友都知道,織夢CMS網站安全系數很低,總是容易被掛馬,雖然說不能完完全全解決這個問題,但是我們可以減低被掛馬的幾率,所以一起來看看今天諸城人家SEO博客分享的文章:織夢CMS網站安全設置教程,做好這些織夢安全系數翻一倍 另:dede網站被掛馬參考《》 只說一遍:對照本文刪改前請做好相應備份?。?! 1.修改默認后臺目錄 dedecms網站默認的管理后臺是/dede,可以換成其他名稱,建議使用中文英文數字結合。 2.刪除默認管理員賬號admin (1)新建管理員賬戶: 點擊系統-系統用戶管理-增加管理員,填寫登錄賬戶及密碼等信息,用戶組選擇超級管理員(也可以不用刪,直接到數據庫中改名) (2)刪除默認的admin用戶: 點擊系統-SQL命令行工具,運行SQL命令:delete from dede_admin where id = 1; 3.刪除根目錄下多余的文件 (1)install文件夾:安裝目錄,安裝完之后這個文件夾就沒用了,整個刪除。 (2)member文件夾:會員功能,若你的網站沒有不需要用到會員,請刪除。 (3)special文件夾:專題功能,若網站沒用到專題功能,請刪除 (4)tags.php文件,如果網站沒用tag標簽功能可刪除 4.刪除plus中無用的文件 dedecms根目錄下的plus文件中的文件,建議保留:/img/文件夾、ad_js.php,count.php,diy.php,list.php,search.php,view.php這幾個即可,其余可以刪除。 織夢根目錄下plus目錄及文件相關功能如下表(*代表所有): 文件名 功能 是否刪除 /plus/guestbook文件夾 留言板 刪除 /plus/img/文件夾 圖片 可刪除 /plus/task/文件夾 計劃任務 刪除 /plus/ad_js.php 調用廣告,企業站可以刪除 保留 /plus/advancedsearch.php /plus/heightsearch.php 高級搜索 (一般只用到search.php) 刪除 /plus/arcmulti.php 異步方式調用指定的tag列表 刪除 /plus/bookfeedback.php /plus/bookfeedback_js.php 圖書評論和評論調用文件 (存在注入漏洞風險) 刪除 /plus/car.php /plus/posttocar.php /plus/carbuyaction.php 購物車 刪除 /plus/comments_frame.php 調用評論(存在安全漏洞) 不用系統自帶評論的可以刪除 刪除 /plus/count.php 閱讀次數統計 保留 /plus/digg_*.php 文章的頂踩功能 刪除 /plus/disdls.php /plus/download.php 下載次數統計/下載功能 刪除 /plus/diy.php 自定義表單 保留 /plus/erraddsave.php 文章糾錯 刪除 /plus/feedback.php /plus/feedback_*.php 評論相關功能 (不用站內評論的可以刪除) 刪除 /plus/flink.php /plus/flink_add.php 友情鏈接添加 刪除 /plus/freelist.php 自由列表 刪除 /plus/guestbook.php 留言 刪除 /plus/list.php 動態瀏覽欄目頁 保留 /plus/mytag_js.php 自定義標簽js調用方式 刪除 /plus/qrcode.php 生成二維碼 刪除 /plus/recommend.php 信息推薦 刪除 /plus/rss.php RSS列表頁 刪除 /plus/search.php 搜索 保留 /plus/stow.php 收藏文章 刪除 /plus/task.php 計劃控制文件 刪除 /plus/view.php 動態瀏覽文章 保留 /plus/vote.php 投票 刪除 還需要刪除一些功能,比如文件管理(這個文件管理器可以輕而易舉的上傳編寫好的程序木馬)、SQL命令等都需要刪除(其實可以改后綴,下次自己要用的時候再改回來)。 5.刪除后臺(dede目錄)不必要的功能 dede目錄下可以刪除的文件,我同樣羅列一個表格出來給大家對照(*代表所有): PS:可以刪除文件需要用的時候再上傳,仔細對照哪些功能有用,也可以改名例如/dede/tpl文件上傳.php 文件名 功能 是否刪除 /dede/ad_*.php 廣告管理添加/刪除文件, 企業站一般用不到 可刪除 /dede/cards_*.php 點卡功能功能 可刪除 /dede/co_*.php 采集控制文件 可刪除 /dede/erraddsave.php 糾錯功能功能 可刪除 /dede/feedback_*.php 評論管理功能 可刪除 /dede/file_*.php 文件式管理器功能,易被掛馬 可刪除 /dede/group_*.php 圈子功能,幾乎用不到 可刪除 /dede/media_*.php 附件數據管理功能文件,易被掛馬 可刪除 /dede/module_*.php 上傳/安裝/管理模塊; 先卸載無用模塊再刪除該功能 可刪除 /dede/mytag_*.php /dede/mytag_tag_*.php 自定義標記管理, 易被上傳一句話木馬 可刪除 /dede/spec_*.php 專題管理功能,沒有專題頁面 可刪除 /dede/story_*.php 小說功能功能 可刪除 /dede/sys_sql_query.php SQL命令運行器,易被注入木馬 可刪除 /dede/templets_*.php 模板管理功能,可以使用FTP管理 可刪除 /dede/tpl.php 文件上傳/管理系統文件,易被掛馬 可刪除 /dede/vote_*.php 投票功能 可刪除 dede目錄中可以刪除的文件都列在上面表格了,各位可以對比自己的網站,用不到的就刪除或者改名即可。 6.禁止目錄的php執行權限 以下(本文步驟6)內容未經過諸城人家實際測試,自行測試,其實只要做到上面說的,就已經很安全了,小站點沒人有那么多心思研究你的! (1) Linux系統的用戶通常是apache環境,可以利用文件來禁止php執行權限,在網站根目錄新建.htaccess復制以下代碼添加進去(如果已有.htaccess文件就直接復制就可以),傳到網站根目錄即可。PS:其他文件可以自己對比加上。 RewriteEngine on #安全設置 禁止以下目錄運行指定php腳本 RewriteCond?%?!^$ RewriteRule a/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule imges/(.*).(php)$ – [F] RewriteRule css/(.*).(php)$ – [F] RewriteRule js/(.*).(php)$ – [F] RewriteRule style/(.*).(php)$ – [F] RewriteRule skin/(.*).(php)$ – [F] RewriteRule templets/(.*).(php|htm)$ – [F] RewriteRule uploads/(.*).(php)$ – [F] (2)windows系統的用戶通常都是IIS7、IIS8環境,可以利用web.config文件來禁止php執行權限(需要主機支持偽靜態),在網站根目錄建立web.config文件,再將以下代碼復制到進去即可。PS:這里我就是簡單的復制了兩個文件夾的,其他文件夾可以自行增加。 rule?name="Block?data"?stopProcessing="true" match url="^data/(.*).php$" / conditions logicalGrouping="MatchAny" add input="{USER_AGENT}" pattern="data" / add input="{REMOTE_ADDR}" pattern="" / /conditions action type="AbortRequest" / /rule rule name="Block templets" stopProcessing="true" match url="^templets/(.*).php$" / conditions logicalGrouping="MatchAny" add input="{USER_AGENT}" pattern="templets" / add input="{REMOTE_ADDR}" pattern="" / /conditions action type="AbortRequest" / /rule 以上6個步驟都已經逐一完成之后,那么恭喜大家,你們的織夢網站安全系數已經可以達到70%的了,一般不容易被入侵了,這篇文章是織夢的基礎安全設置,還有官方要求將織夢data遷移,除此之外就是定期打補丁,程序出現bug,官方更新之后,你就需要立馬打補丁,本次分享的織夢cms網站安全設置教程到此結束!
- END - 瀏覽完了?你可以留下觀點! |