学习永不停止
我们一起努力吧!

dede织梦文件夹权限设置组合拳:加入.htaccess禁止代码网站更安全

简考题库免费下载

dede织梦开源程序很流行,但也很多人对其安全问题吐槽不断,今天有人说被攻击了,明天说被黑了。虽然dede在新版本中不断推出各种优化安全方案,但由于“坏水一肚子”研究的人太多,导致刚出来一套安全方案,过一两天就被攻破,让人防不胜防。我们不可否认dede开源程序有它的优势,也不否认有很多站长做得很好。对我们自己来说,既然选择了DEDE就不应该将问题全往别人身上推。做好自己,不断优化网站架构,让它更安全,这才是我们要做的。

除了安全漏网,织梦的“文件夹目录权限设置”在被攻击入侵时也会侵首当其冲,当HACK发现文件可写入、能执行PHP权限时,然后就会一套“组合拳”让你“眼花缭乱”无从招架。所以,我们在平时的网站维护中一定注意在FTP或服务器中给自己网站设置好相应的权限。总的来说有两种权限设置:

1.可读可写但不可执行权限(666)。需设置相应的文件目录有data、templets、uploads、a或5.3的html。
  
2.可读可执行但不可写权限(555)。需设置相应的文件目录有include、member、plus、后台管理目录(默认为dede)。注:安装了附加模块的站长,book、ask、company、group等文件目录同样要设置。 

后话:由于各个服务器设置不尽相同,所以这些文件在被禁止权限后可能会导致部分网站后台或前台打开不正常,根据验证,因data和templets文件夹出现的问题机率较大,遇到这种情况,大家有条理性地测试权限放开,比如将data放宽到744,而templets只能755。权限放开了,就意味着安全性降低了,但我们可以通过其他的方法进行弥补,比如在.htaccess通过以下代码禁止“member|data|include|task|uploads|templets|install”被执行“php|jsp|asp|aspx|cgi|sql|lock”权限,代码如下:

RewriteBase /es_jiashuqi
RewriteCond %{REQUEST_URI} ^/(member|data|include|task|uploads|templets|install)/.*\.(php|jsp|asp|aspx|cgi|sql|lock)$ [NC]
RewriteRule .*$ – [F,L]  

将代码放于网站根目录的.htaccess中,并自行设置禁止写入的文件目录,在设置时,如遇到网站不正常,可适当删减。

 

未经允许不得转载:http://jdks100.com/风语守望_博客 » dede织梦文件夹权限设置组合拳:加入.htaccess禁止代码网站更安全


分享到:更多 ()
关注“公众平台”:     资源分享QQ群(517095212):

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • 4 + 0 = ?

风语守望_博客,共同学习,一起成长!

网站首页联系我们
防复制