新闻中心

无忧主机原创:全面分析Dedecms网站挂马防范安全措施

作者 / 无忧主机 时间 2012-07-31 05:22:58

Dede作为国内一套比较优秀的cms,深受众多站长的喜爱,dede的简单、便捷、易上手,许多人把dede(织梦内容管理系统)作为建站的首选,正是因为如此用的人越多,安全问题就越多,因为这套cms已经被人研究透彻了。为了防范别人的入侵,我们应该做好网站的安全防范措施。具体怎么做类?您在阅读本文之前,我相信,您肯定也在网上找了许多类似这样的教程看了,那么,请你继续阅读这篇,无忧主机(www.51php.com)小编们在日常维护中总结的对dede挂马、dedecms旁注、dedecms注入等安全设置的经验,针对性一些经过我们实验、确实可行的dedecms网站安全加固措施,以下几个方面是防止dedecms网站挂马方法,详细部署请带着您的问题仔细往下看:

一 、网站安全第一道防线——网站管理员口令。

密码,密码,这个在任何地方、任何人都会说的一个问题,无忧主机(www.51php.com)小编这里,依然再次强调,请你使用强壮密码,请您重视它,否则您将受到惩戒。我们都知道,dedecms内容管理系统的管理员密码是通过MD5加密的,你知道,别人也知道。简单的md5字符串是很容易破解的,所以网站的密码一定要设置足够强壮,数字、字母、特殊符号组合10位以上,这样即便网站管理员口令被强制“爆破”,这也给别人破解md5密码加密增加难度。

二 、删除多余组件, 避免被hack木马注入(非常重要)

在服务器安全策略配置中,有一条原则:“最小权限运行,就是最大的安全保障”,这条规则,同样也适用于,指导个人网站安全策略部署,让你的dedecms最小化运行吧,也就是自己用什么功能就、安装什么功能,不要的统统删除。在dedecms中表现如下五个形式,请你根据无忧主机(www.51php.com)的指导,参考配置:

1、dedecms(织梦内容管理系统)安装完毕后,把install文件删除掉,把后台目录直接改名dede改名。如果你不会做?请你详细操作指导教程:无忧主机教你如何修改织梦CMS(DEDE)管理员后台登录路径

2、不需要的功能可以去掉,比如很多站长根本用不到会员系统的功能,那我们就把member这个目录删掉,防止hack爆库,还有special, plus\guestbook留言板都是可以删除的。将每个目录添加空的index.html,防止目录被访问。

3、dede管理目录下的:

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

这些文件是后台文件管理器,无忧主机(www.51php.com)任务这个功能最多余,也最影响安全,许多hack都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马太方便了。一般用不上请统统删除。

4、SQL命令运行器,不是人人都用的上,强烈建议删除它。删除方法:删除dede/sys_sql_query.php 这个文件即可。避免HACK利用,sql执行语句是非常危险的,如果你要使用,建议您使用无忧主机提高的安全的phpmyadmin工具执行sql命令。

5、tag功能和顶客功能的,请你删除网站根目录(public_html)tag.php和、digg.php和diggindex.php。

三、防止hack利用发布文档上传木马

Dedecms 的Include目录是黑客同志们非常喜欢的一个目录,小编在日常维护中,发现大约有60%的dedecms网站的木马都是被挂在include下面的,请您务必仔细阅读如下内容: 在include目录下面找到config_base.php,下载到本地电脑,使用文本编辑器 打开找到: Copy code//禁止用户提交某些特殊变量 $ckvs = Array('_GET','_POST','_COOKIE','_FILES'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]); } } 改为下面代码 Copy code//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(!empty($value)){ ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value); ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]); } if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]); } } //检测上传的文件中是否有PHP代码,有直接退出处理 if (is_array($_FILES)) { foreach($_FILES AS $name => $value){ ${$name} = $value['tmp_name']; $fp = @fopen(${$name},'r'); $fstr = @fread($fp,filesize(${$name})); @fclose($fp); if($fstr!='' && ereg("<\?",$fstr)){ echo "你上传的文件中含有危险内容,程序终止处理!"; exit(); } } } 四、严防死守网站目录权限的设置,删除php执行权限,拒绝防止木马的执行 首先,无忧主机(www.51php.com)要告诉大家,无忧主机的所有php虚拟主机都是纯linux环境下的空间,那么,您可以自动自定义站点目录下的文件夹和文件权限,建议你先阅读“linux虚拟主机,linux空间站点目录权限设置高级篇”了解下linux权限设置方面的知识,这会让你少走弯路。 无忧主机不建议用户把栏目目录设置在根目录, 原因:这样进行安全设置会十分的麻烦。在默认的情况下,安装完成后,目录设置如下: 1、data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限; 2、不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限; 3、 include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。 4、删除目录php执行权限。这个是dedecms官方强烈推荐的安全防范措施,请你务必重视,实现方法见:无忧主机教你DEDECMS V5.7SP1取消PHP空间目录脚本执行权限 无忧主机(www.51php.com)我用自己的一句话概括这样的设置是:所有能够执行脚本的文件只能读,不能写,能够写入的文件却不能执行脚本,这样做的效果是尽可能的做到最严密的设置。至于设置的权限的方法在ftp工具上右击“属性”即可设置。关于权限,无忧主机(www.51php.com)系列免被备案php虚拟主机都已经做好策略,请您安装的时候默认权限即可,请不要随意改动默认权限,目录默认权限:文件夹755,单个文件644。 五、定期扫描病毒, 利用Dede管理员后台有个病毒扫描的功能,我们可以定期对整站进行扫描,遇到可疑文件立即进行处理。还有就是经常更新官方的漏洞补丁。把以上做好,dede的大部分安全隐患都可以去除! 更多关于dedecmns网站安全设置的参考教程,强烈推荐您阅读: 无忧主机总结:如何排查DEDECMS入侵和挂马的经验

加强DEDECMS目录权限设置抵御入侵威胁

纯Linux环境下高端免备案【香港独立IP地址】 php空间,仅仅只需199元一年起。商务中国域名核心代理直销50元注册国际顶级域名

本文地址:https://www.51php.com/dedecms/6915.html

1
1
1
1
1
1
1

客户服务热线

0791-8623-3537

在线客服