有朋友的織夢(mèng)DedeCMS后臺(tái)程序被掛馬,造成損失,就認(rèn)為織夢(mèng)安全性很低。說實(shí)話能被黑客看得上的網(wǎng)站其實(shí)做得還可以,垃圾站連我也不屑光顧。其實(shí)只要積累經(jīng)驗(yàn),就能讓網(wǎng)站更安全,下面就來談一談具體的設(shè)置方法:
后臺(tái)密碼設(shè)置要復(fù)雜
管理員密碼一定要長(zhǎng),字母與數(shù)字混合,不要用admin。系統(tǒng)數(shù)據(jù)庫存儲(chǔ)的密碼是MD5的,一般HACK就算通過注入拿到了MD5的密碼,如果你的密碼夠嚴(yán)謹(jǐn),對(duì)方也逆轉(zhuǎn)不過來。
刪除不需要的目錄
不需要的功能一律刪除,如不需要會(huì)員功能就將member文件夾刪除,刪除多余組件是避免被HACK注射的最佳辦法。將每個(gè)目錄添加空的index.html,防止目錄被訪問。
可刪除目錄列表:
member會(huì)員功能
special專題功能
install安裝程序(必刪)
company企業(yè)模塊
/plus/guestbook留言板
以及其他模塊一般用不上的都可以不安裝或刪除。
刪除不需要的文件
/dede/file_manage_control.php
/dede/file_manage_main.php
/dede/file_manage_view.php
/dede/media_add.php
/dede/media_edit.php
/dede/media_main.php
這些文件是后臺(tái)文件管理器,一般用不上統(tǒng)統(tǒng)刪除,要管理文件夾盡量到FTP。
不需要SQL命令運(yùn)行器的將下面文件刪除。
/dede/sys_sql_query.php
不需要tag功能請(qǐng)刪除:
/tag.php
不需要頂客請(qǐng)刪除:
/plus/digg.php
/plus/diggindex.php
修改配置
為了防止HACK利用發(fā)布文檔、上傳木馬,請(qǐng)安裝完成后阻止上傳PHP代碼。到此基本堵上了所有上傳與編輯木馬的可能性,附帶簡(jiǎn)單方法。
打開include/config_base.php,找到
Copy code//禁止用戶提交某些特殊變量 $ckvs = Array('_GET','_POST','_COOKIE','_FILES'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]); } } |
改為下面代碼
Copy code//把get、post、cookie里的<? 替換成 $ckvs = Array('_GET','_POST','_COOKIE'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(!empty($value)){ ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);<> ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]); } if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]); } } //檢測(cè)上傳的文件中是否有PHP代碼,有直接退出處理 if (is_array($_FILES)) { foreach($_FILES AS $name => $value){ ${$name} = $value['tmp_name']; $fp = @fopen(${$name},'r'); $fstr = @fread($fp,filesize(${$name})); @fclose($fp); if($fstr!='' && ereg("</?",$fstr)){<> echo "你上傳的文件中含有危險(xiǎn)內(nèi)容,程序終止處理!"; exit(); } } } |
目錄重命名 虛擬主機(jī)注意事項(xiàng)
管理目錄/dede務(wù)必重命名,而且要像密碼一樣復(fù)雜才最好。
補(bǔ)丁升級(jí)
DedeCMS更新頻率不高,但是如果有更新一定用最新的,如果已經(jīng)做了二次開發(fā)的,先備份數(shù)據(jù)庫,再仔細(xì)對(duì)比手動(dòng)覆蓋安裝。
