“dede”太脆弱了,早不用早解脫”,“DEDE安全嗎,怎么總是被入侵掛馬? ”,“天,怎么回事,又被掛馬了”經常能碰到這樣的抱怨。如果織夢網站管理系統(dedeCMS),真的那么脆弱,那么容易被掛馬,那為什么還那么多人選擇使用它?據我所知,dede管理系統是有非常多的用戶群體的?!熬W站沒有絕對的安全,只有勤勞的站長,你有抱怨的時間,還不如仔細檢查下自己的網站是否做好了安全防范措施。,西安搜推寶seo">

                            當前位置:首頁 > 網站建設 > 正文

                            dedecms織夢防范網站注入掛馬(安全設置)

                            搜推寶 2017-12-02 分類:網站建設 4655 0


                            “dede”太脆弱了,早不用早解脫”,“DEDE安全嗎,怎么總是被入侵掛馬? ”,“天,怎么回事,又被掛馬了”經常能碰到這樣的抱怨。如果織夢網站管理系統(dedeCMS),真的那么脆弱,那么容易被掛馬,那為什么還那么多人選擇使用它?據我所知,dede管理系統是有非常多的用戶群體的?!熬W站沒有絕對的安全,只有勤勞的站長,你有抱怨的時間,還不如仔細檢查下自己的網站是否做好了安全防范措施。

                            下面我將要告訴一個勤勞、智慧的站長安裝完dede系統后必須要做的事情:

                            1、 修改DEDE默認的網站后臺管理地址,請一定要將/dede,目錄改名,并且為復雜用戶名,并記住它。眾所周知,dede默認管理后臺都是,“域名/dede”,黑客是最新喜歡這種不修改默認登錄地址的網站了,多省事。

                            2、 請直接刪除“install”目錄,留著無用,而且還有會禍害網站安全,刪了吧!刪除系統安裝程序,這個操作時安裝所有php開源程序的共性,如joomla安裝完畢后,如果不刪除安全目錄(installation)是無法打開網站首頁的,我認為DEDE官方開發團對可以借鑒這個經驗。

                            3、 Dede安裝前你是否計劃過,你需要dede的那些功能系統?如果你沒有?那么現在就開始,將不需要的功能系統都刪除,在這里我引用前文“Joomla!建站SEO優化誤區(joomla建站seo建議)”中的一段話“簡化你的網站模板,減少網站功能”,功能最小化安裝使用dede系統(在滿足自己需求前提下),是你安全使用dedecms系統的前提。所有PHP開源程序安全設置都有相通之處,要學會舉一反三。你不妨可以學習本站其它開源系統的網站安全設置經驗。

                            下面是我整理出的一些dede站點目錄的位置,如果你不熟悉dedecms系統站點目錄結構你可以參照設置:

                            /member 會員功能模塊

                            /special專題功能

                            /install安裝程序

                            /company企業功能模塊

                            /plusguest/book 留言板

                            其它模塊,也可以不要就刪除它,上面紅色標記的,我已經安裝并做了測試確認可以直接刪除,不會影響dede正常運行,其余的文件用戶可以參考官方文檔操作。最好是在安裝DEDE系統前有計劃的,選擇不安裝,省掉后期的麻煩。我再次特別強調/install安裝程序,強烈刪除它。

                            4、 密碼一直是我很揪心的問題,我在前面寫joomla開源cms系列文檔中都特別多次強調過,強壯密碼,一定需要一個強壯的密碼才能起到保護網站安全的作用,否則就是一個災難。如果黑客通過注入,獲取到管理員密碼的MD5加密代碼,然后反向編譯MD5代碼,是不是會瞬間瓦解你的網站?所以,請設置一個強壯的密碼吧,強壯到讓它無法反向編譯你的密碼。請不要小覷了黑客通知的實力。

                            5、 黑客同志最喜歡的目錄?

                            黑客同志最喜歡的目錄,就是dede管理員目錄/dede,dedecms后臺的文件管理器就在這里,這里經常被黑客同志所利用,用它來掛馬,這也就是為什么在本文第一條就要強調要修改dede的網站管理地址的原因。黑客可以利用如下紅色字體文件,進行上傳木馬。這也是黑客為什么樂此不疲的不斷尋找dede后臺管理地址的原因了。

                            file_manage_control.php

                            file_manage_main.php

                            file_manage_view.php

                            media_add.php media_edit.php

                            media_main.php

                            請刪除紅色字體文件一切為了安全。在測試掛馬注入點的時候,還發現dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的網馬注入點,用戶可以根據網站需要刪除。這些都是黑客喜歡利用、掛馬的文件。其中DEDE后臺的SQL命令運行器,是我們常忽視的地方,如果不常用,或根本不用,毫不猶豫刪除它。

                            6、 拿來主義,網上流傳的經典防黑客注入方法(DEDE防注入兩方法)

                            一是將每個目錄添加空的index.html,防止目錄被訪問;

                            二是給做好網站301頁面、403頁面、404頁面可以禁止訪問某頁或某文件。

                            上面的方法沒有經過測試,不知是否有效,如果你正在使用或測試可行,你可以與我們交流,分享你的成功。

                            7、 php虛擬主機的選擇。我在joomla安裝前的準備工作中提到,“php語言開發的系統,最好的架設平臺是Linux系統”,也只有Linux才能完美發揮出php加MySQL的效率,而且,linux操作系統受到病毒影響幾率要遠遠小于windows系統的php空間。是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署,完美支持織夢網站管理系統(dedeCMS)的php虛擬主機。點擊查看dede系統演示平臺

                            8、 織夢網站網站內容管理系統(dedecms)開發團體也在不斷關注產品用戶的體驗度、產品的安全、穩定、bug、等問題,請用戶及時從官方網站(www.dedecms.com)獲取最新的版本,和升級補丁。讓織夢系統,為我們站長編織一張美麗的網賺之路

                            來源:西安搜推寶seo,轉載請注明出處!

                            本文地址:http://www.datengsujiao.com/post-41.html

                            發表評論: 取消回復

                            請填寫驗證碼
                            粉嫩极品国产在线观看 缴情综合五月f缴情| 黑人巨超大VIDEOS华人| 顶级少妇xxxx| 抽搐一进一出gif免费| 国产免费破外女真实出血视频| 护士情欲短篇小说强| 玖玖资源站最稳定网址| 4399神马电影在线观看免费| 日本高清aⅴ毛片免费| 成人纯肉动漫在线播放| 宅男在线福利| brazzershd欧美巨大| 少妇高潮太爽了在线播放| a一天堂网| 中国白胖肥熟妇bbw| 香蕉超级碰碰碰97视频| 女人高潮抽搐潮喷视频动态图| 国产精品高清一区二区不卡| 2020年最新国产精品正在播放| 久久综合av免费观看| 国产精品原创巨作av无遮挡| 国模吧gogo裸体私拍| 免费国产女人高潮抽搐视频| 色狠狠亚洲爱综合网站| 欧美亚洲日本国产黑白配| 久久中精品中文字幕| 亚洲欧洲日产国码v网址| chinese骚乱叫喷水videos| 永久免费av无码网站bt| 亚洲色色| 69高清国语自产拍| http://www.bluecarbondigital.com