各位站长朋友应该知道在2013年7月15日dede出现了一个很大的安全漏洞,牵连了无数站点和php空间商。在此次dede安全漏洞集体爆发事件中,不幸无忧主机也有2台服务器收到威胁,我公司服务器维护工程师,10分钟内就解决了这个问题,一共发现6个dede站点被害。事后检查中,发现这6个站点都是清一色的dedecms v5.6的老版本,而且连最基本的安全策略都没有做,不给害才怪。而且 dede官网这几天访问也不太顺畅,貌似也被坑了,这几天观察dede官方网站也在不间断的恢复数据。今天23点的时候,我在dede官方论坛上了解最新的安全补丁信息,发现打不开。很是尴尬。织梦(dedecms)内容管理系统,这个让人又爱又恨的php开源系统,无忧主机不止一次提醒过大家,要随时跟随官方信息,即使更新版本,打安全补丁,而且无忧主机小编在此之前都发过非常多的dedecms安全配置教程,希望帮助客户做好防范措施。很多主机商都明令禁止自己的产品使用dedecms系统,这个很是寒心。无忧主机香港免备案的系列php虚拟主机产品,请大家放心使用,无忧主机无论是从服务器上,还是网站应用上,都发了非常大的精力针对dedecms系统进行优化和预防。大家可以放心使用。今天无忧主机小编就继续针对这次dedecms安全事故,给大家带来dedecms教程。进一步给大家介绍一下如何加强dedecms网站安全建设。
第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成123_,随便一个名称即可。
第二、密码,这个在任何地方、任何人都会说的一个问题,无忧主机 小编这里,依然再次强调,请你使用强壮密码,请您重视它,否则您将受到惩戒。我们都知道,dedecms内容管理系统的管理员密码是通过MD5加密的,你 知道,别人也知道。简单的md5字符串是很容易破解的,所以网站的密码一定要设置足够强壮,数字、字母、特殊符号组合10位以上,这样即便网站管理员口令 被强制“爆破”,这也给别人破解md5密码加密增加难度。
第三、装好程序后务必删除install目录
第四、请直接删除“install”目录,留着无用,而且还有会祸害网站安全,删了吧!删除系统安装程序,这个操作时安装所有php开源程序的共性
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、严防死守网站目录权限的设置,删除php执行权限,拒绝防止木马的执行,以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
1 |
file_manage_control.php |
1 |
file_manage_view.php media_add.php |
1 |
media_edit.php media_main.php |
再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
1、data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;
2、不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
3、 include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
4、删除目录执行权限。这个是官方强烈推荐的安全防范措施,请你务必重视,实现方法见:
无忧主机教你取消PHP空间目录脚本执行权限
无忧主机(www.51php.com)我用自己的一句话概括这样的设置是:所有能够执行脚本的文件只能读,不能写,能够写入的文件却不能执行脚本,这样做的效果是尽可能的做到最严密的设置。至于设置的权限的方法在ftp工具上右击“属性”即可设置。关于权限,无忧主机(www.51php.com)系列免被备案
php虚拟主机都已经做好策略,请您安装的时候默认权限即可,请不要随意改动默认权限,目录默认权限:文件夹755,单个文件644。
5、dede管理目录下的:
1 |
file_manage_control.php |
这些文件是后台文件管理器,无忧主机(www.51php.com)任务这个功能最多余,也最影响安全,许多hack都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马太方便了。一般用不上请统统删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、Dedecms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
如果做好以上十一点的话,相信您的网站基本上就碉堡了,黑客想要入侵也不是那么容易的了。
相关文章推荐:
dedecms怎么去掉power by dedecms
本文地址:https://www.51php.com/dedecms/11773.html