学习永不停止
我们一起努力吧!

织梦dede安全设置组合(无须插件),让“天然屏障”更牢固!

阳江鼎阳抄数设计交流群

相信很多用DEDE织梦做过站的朋友都受过这样那样的被入侵或者被挂马,也因此不少人望而却步。其实安全隐患在每一种开源程序都存在,DEDE的太流行太多人研究更是加剧这种隐患的透明化。但是,网站架构对搜索引擎非常友好、模板样式多种多样的DEDE,对其我们不应有“出了安全问题就抛弃”的想法,反而要从自身反省,当中必然有你做得不到位的地方。我们在使用dede的时候,一定要听从官方也不断推出各种安全建议,也要多看下大神们写的安全设置文章。以下的几点DEDE内部安全建议会重新筑起一道”墙”。

建议一:安装数据据时,不要使用默认的前缀dede_,设置成你喜欢的即可。

建议二:管理后台删除名称为“admin”的管理员帐号,另起一个复杂自己容易记的名字(也可在数据库里面在原管理帐号的基础上修改),并且请勿为了所谓的方便而关闭验证码功能,因为这是抵挡初级入侵最好的屏障。

建议三:install目录仅仅用于网站重装,别无他用;dedecms后台管理默认目录名dede也要改成其他的名字。不删除install或不改默认后台目录名将让hack们多了一个攻击的手段。

建议四:关闭一些没用的功能,比如很多网站并不使用会员和评论,那就一定要对其进行关闭。还是那句话:留着就多一份危险!

1.这些目录可能在删除之列:member会员功能、special专题功能、company企业模块、plus\guestbook留言板;

2.这些文件也可以考虑删除:file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php

3.SQL命令运行器有时也会被hack利用,平时不常用可以屏蔽。方法是:将dede/sys_sql_query.php 文件删除。

4.如果用不上tag功能可能删除根目录下的tag.php。

5.顶客取消可删除根目录下的digg.php与diggindex.php文件。

6.下载发布功能不用则要找到管理目录下的soft__xxx_xxx.php进行删除,这个很容易让人挂马。

建议五:平时多关注管理后台弹出的DEDE官方安全提示,并及时打上最新网站补丁。尽量考虑DedeCms官网推出的各种免费防护工具,比如万能安全防护代码。

建议六:建议在config_base.php用以下代码加固dedecms的安全:

打开

config_base.php 

找到

//禁止用户提交某些特殊变量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
  if(is_array($$ckv)){ 
    foreach($$ckv AS $key => $value) 
      if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
  }
}

改为下面代码

//把get、post、cookie里的<? 替换成 <?
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
  if(is_array($$ckv)){ 
    foreach($$ckv AS $key => $value) 
      if(!empty($value)){
        ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
        ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
      }
      if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
  }
}
//检测上传的文件中是否有PHP代码,有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
  ${$name} = $value['tmp_name'];
  $fp = @fopen(${$name},'r');
  $fstr = @fread($fp,filesize(${$name}));
  @fclose($fp);
  if($fstr!='' && ereg("<\?",$fstr)){
      echo "你上传的文件中含有危险内容,程序终止处理!";
      exit();
  }
}
}

建议七:如果平时网站维护较少,文章资源更新不频繁,可以考虑在本地生成html网页上传网站,html格式是最安全的网页形式。

建议八:平时多留意检查网站安全情况,及早发现和处理挂黑链挂马情况,免得被搜索引擎处罚。同时也要定期做好网站的备份。

未经允许不得转载:http://jdks100.com/风语守望_博客 » 织梦dede安全设置组合(无须插件),让“天然屏障”更牢固!


分享到:更多 ()
关注“公众平台”:     学习交流QQ群(185619299):

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • 6 + 8 = ?

风语守望_博客,共同学习,一起成长!

网站首页联系我们
防复制