您的位置: 中华最佳学习网论坛 -> 电脑家电 -> 电脑网络 -> 织梦(dedecms)如何安全设置防止挂马?

您是本帖的第 757 个阅读者
 贴子主题:织梦(dedecms)如何安全设置防止挂马?
 lgz0373 (新兵) 性别:男<br>状态:离线<br>积时:12 小时 1 分 10 秒
 新兵
 
 头衔:未定义
 Z币:0
 帖数:42
 金钱:143
 注册:2011/3/5

  发表于 2013/11/27 21:58:40 资料 留言 编辑 引用 评帖 < 收藏 举报 1F >

织梦(dedecms)如何安全设置防止挂马?

织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些。这些都导致织梦的用户群是非常庞大的,用的人多了,漏洞自然就多起来,所以织梦的安全性为大家所诟病,很多人在使用中经常会遇到或者担心网站挂马。我经常看到有的朋友说“DEDE程序有安全问题,我的网站又被挂马了”

我却觉得Dede的应该没有问题,根据查看dede的用户表单的源码,都是有过滤的,用dede的用户那么多,如果真的有安全漏洞,我怕用的不会只是几个朋友而已。这里整理一篇关于织梦DedeCMS安全设置的文章,希望对使用织梦的朋友有点帮助。


一般使用织梦建的站只要做到下面一系列针对DEDE网站的安全设置,基本可以避免99% 网站被挂马的情况。


一、文件权限设置

文件夹权限不要设置777,data文件夹下的config.php文件设置644属性等,修改管理后台的目录等;这些都是织梦默认就会提示你做的安全设置,可以按照织梦的相关教程进行设置。基本上做好以上的安全设置,织梦DedeCMS的安全性会提高很多。 

 


二、修改后台地址

后台地址一定要改,不要用DEDE这个文件夹做你的后台,有些朋友竟然不知道Dede这个后台文件夹可以改名!?



三、设置复杂的管理员密码并加上验证码


管理员密码一定要长,而且字母与数字混合,尽量不要用admin,初次安装完成后将admin删除,新建个管理员名字不要太简单。织梦系统数据库存储的密码是MD5的,一般HACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。


后台最好加上验证码,虽然麻烦了点,但是可以避免不少的小黑客用社会工程学来破解你的网站(我就试过,很多朋友的密码常常是手机号,域名,qq等等)



四、对上传文件类型严格控制,禁止上传html、php、asp等文件

还有就是你开启的用户上传这一栏最好严格控制一下,这个也比较关键,如果黑客不是破解你后台的话,挂你马也就难多了,因为他们需要上传一个挂马工具上来,如果你已经被挂马了,切记要检查下你的网站是不是允许上传html.php.asp等文件了。


五、删除dede后台不必的功能文件


DEDE后台管理目录下的以下文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除) 。


file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。不需要tag功能请将根目录下的tag.php删除。不需要顶一下、踩一下功能的请将plus目录下的digg_ajax.php和digg_frame.php删除!



六、精简程序功能,删除不使用的目录


不需要的功能统统删除。比如不需要会员就将member文件夹删除;删除多余组件比如投票、找错等的插件是避免被hack注射的最佳办法。将每个目录添加空的index.html,防止目录被访问。


织梦可删除目录列表:member会员功能,special专题功能,install安装程序(必删),company企业模块,plus\guestbook留言板,以及其他模块一般用不上的都可以不安装或删除。


另外,如果不是必要用到会员功能,最好在后台的系统设置里面把会员功能关闭,这样防止别人对网站进行SQL注册;友情链接申请的也可以删除,总之就是减少别人往网站提交信息的可能。



七、如果给自己的网站增加了字段(比如要求用户申请时输入生日等等)要过滤


别自己的问题推到了DEDE的头上。(建议有一定PHP技术的朋友去修改,为达到功能不是简单的在前台增加表单后台增加发布表单然后增加数据库字段这么简单,要防止XSS攻击就要注意增加htmlspecialchars,mysql_escape_string())



八、尽量不要在自己的服务器上添加其他存在程序

还有不少的朋友在自己的空间上为了增加功能还使用了一些小程序(那些程序我也用过忘记删除了,结果被挂码)比如:相册、报名之类的程序,这些程序的作者都是些不出名的,他们的程序基本上会有一定的风险,有的黑客就可以利用这点,上传blackeyes小马(就是木马),得到你的虚拟空间的使用权,然后就是用工具批量挂马。


九、选择可靠的空间服务商

别忽视了IDC服务器商的风险哦,我告诉你~对于黑客来说~为了挂你的站,常常不是使用对点方式的破解,而选择旁注入的方法,他们的方法就是破解与你同一个服务器上的其他网站,不要不信,别人要知道你网站的邻居有哪些轻松的很(进这个网站自己查查看同一ip下的所有网站,输入你的ip地址就可以了,破解你同一服务器上的其他用户,让你挂马也是很轻松的了(我用这个方法就挂过别人的网站)。对于一些好的服务器尚对于这个限制的厉害,就不会出现这个问题。


十.用工具检查你网站的漏洞

用工具,用黑客的工具去检查你网站的漏洞~当然不要滥用~用些注入SQL的黑客软件检查下你网站就可以了(如啊D注入器等等,我都使用过,没有发现Dede有漏洞有可以挂码的地方,不信你也可以去测试,当然我不知道不代表没有,但是你也应该知道,使用dede的朋友有多少,如果真的出现很容易被抓的漏洞,要被挂的网站数量恐怕会很恐怖)

推荐两个漏洞检测平台,百度站长平台网站漏洞检测:zhanzhang.baidu.com,360网站安全监测:webscan.360.cn


十一.时刻关注Dede官方发布的安全补丁




  40 0


http://446060148.qzone.qq.com/



 每页10条,共1页,合计1条记录
9  1  :
转到  





Powered By:迪超网络 12 queries.
Copyright © 2011-2061 中华最佳学习网论坛
中华最佳学习网论坛,用于学习培训网网友知识、技术、业务交流之用。本论坛的信息内容,均由网友自由发布,出于传递更多知识信息之目的,其内容的真实性,由网友和读者自行判断。内容如有错误,给网友或读者造成的损失,本站不负任何责任。内容如有错误或者侵权,欢迎网友和读者提出宝贵的意见,以便我们及时改正或者删除。如其他媒体或个人从本论坛下载内容资料使用,请注明来自中华最佳学习网论坛(xue.zhzjw.net/bbs),并自负版权等一切法律责任。
本站联系方式:Email:bbs@zhzjw.net 或 454541734@qq.com ;点击进入QQ交谈454541734