织梦dedecms安全设置 dede5.7更安全

2020-10-12 20:59:07 编辑:七云网络 来源:本站原创
  • 1.网上免费源码模板有些就是带有后门的,那你怎么防也没有用,最好是提取出模板文件自己套进织梦系统里。
  • 2.装好织梦源码后把install这个安装系统的文件夹删除,避免二次利用,如果没有使用会员功能的话可以把member这个文件夹删除,很多漏洞都是通过会员功能来提权的。
  • 3.删除include里payment文件夹,然后将include文件夹权限设置为不可写,进空间管理面板里设置,不明白可咨询空间商。
  • 4.plus文件夹精简,保留 img、diy.php、list.php、view.php、search.php、count.php,其他全部删除。然后将plus文件夹设置为不可写。
  • 5.网站后台特别要注意,把默认的dede改成复杂难以猜到的数字或字母,这样就算网站有漏洞,破解出来登陆账号密码,没有找到后台,那也无济于事。
  • 6.网站后台管理员账号密码修改成复杂的。密码修改在系统,系统用户管理里可修改。账号修改请查看
  • 7.将data目录更改为其他名称,比如改为27yundata,data目录改名需要做一些设置,需要修改请点击
  • 8.后台的文件管理(后台目录下file_manage_xxx.php)和下载发布功能(后台目录下soft__xxx_xxx.php),不用的话可以去掉,这个也比较容易上传小马的
  • 9.服务器要及时修复补丁,避免因为我们网站的空间或者服务器问题导致我们网站被黑。空间的FTP账号密码最好设置复杂一些,密码最好带上符号。
  • 10.最后教大家一个绝招,就是我们空间上面只放html文件,我们本地架设dedecms系统,在本地添加文章,对系统进行操作,生成完html后把html上传即可,这样理论上很难被黑,因为都是静态,安全问题无从下手,但是这样比较麻烦,每次生成完后都要上传,但是和系统安全来对比,还是值得的。

二、后台文件说明,不需要的功能可以删除:

  • dede/file_manage_control.php 【邮件发送】
  • dede/file_manage_main.php 【邮件发送】
  • dede/file_manage_view.php 【邮件发送】
  • dede/media_add.php 【视频控制文件】
  • dede/media_edit.php 【视频控制文件】
  • dede/media_main.php【视频控制文件】
  • dede/mytag_add.php 【自定义标记管理】
  • dede/mytag_edit.php 【自定义标记管理】
  • dede/mytag_main.php 【自定义标记管理】
  • dede/mytag_tag_guide.php 【自定义标记管理】
  • dede/mytag_tag_guide_ok.php 【自定义标记管理】
  • dede/spec_add.php、spec_edit.php【专题管理】
  • dede/file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】
  • dede/soft_add.php、dede/soft_config.php、dede/soft_edit.php 【软件下载类,存在安全隐患】
  • 以dede/story_xxx.php开头的系列文件 【小说功能】
  • dede/ad_add.php、ad_edit.php、ad_main.php 【广告添加部分】
  • dede/cards_make.php、cards_manage.php、cards_type.php 【点卡管理功能文件】
  • 以dede/co_xx .php开通的文件 【采集控制文件】
  • dede/erraddsave.php 【纠错管理】
  • dede/feedback_edit.php、dede/feedback_main.php 【评论管理】
  • 以dede/group_xx .php开头的系列php文件 【圈子功能】
  • dede/plus_bshare.php 【分享到管理】
  • 以dede/shops_xx .php开头的系列文件 【商城系统】
  • dede/spec_add.php、spec_edit.php 【专题管理】
  • 以dede/templets_xx .php开头的系列文件 【模板管理,可以保留】
  • dede/vote_add.php、vote_edit.php、vote_getcode.php 【投票模块】

三、安全权限篇:

1.将data、templets、uploads、html、images目录设置为不允许执行脚本。这个一般空间商都有提供设置,如果是独立服务器那么设置更容易

本站文章均为英德网站建设网络原创文章或转载,如有版权纠纷,请联系站长QQ:2589#366#562删除(请去掉#号)