立即注册 找回密码

QQ登录

只需一步,快速开始

查看: 4440|回复: 0

[Dedecms 安装问题] DEDECMS织梦内容管理系统安全设置(防范网站注入挂马)

[复制链接]
发表于 2016-1-20 13:01:31 | 显示全部楼层 |阅读模式
道勤网-数据www.daoqin.net

亲注册登录道勤网-可以查看更多帖子内容哦!(包涵精彩图片、文字详情等)请您及时注册登录-www.daoqin.net

您需要 登录 才可以下载或查看,没有账号?立即注册

x
本帖最后由 学习NO.1 于 2016-1-20 13:05 编辑

“dede”太脆弱了,早不用早解脱”,“DEDE安全吗,怎么总是被入侵挂马? ”,“天,怎么回事,又被挂马了”经常能碰到这样的抱怨。不“人云亦云”这是道勤主机(www.51php.com)一贯的观点。如果织梦网站管理系统(Dedecms.daoqin.net/" target="_blank" class="relatedlink">dedecms),真的那么脆弱,那么容易被挂马,那为什么还那么多人选择使用它?据我所知,dede管理系统是有非常多的用户群体的。“网站没有绝对的安全,只有勤劳的站长”我在“道勤主机教你如何使用joomla安全建站(防黑)”一文中讲了很多关于建站要注意的网站安全设置经验,你可以阅读借鉴它。你有抱怨的时间,还不如仔细检查下自己的网站是否做好了安全防范措施。


下面我将要告诉一个勤劳、智慧的站长安装完dede系统后必须要做的事情:

1、  修改DEDE默认的网站后台管理地址,请一定要将/dede,目录改名,并且为复杂用户名,并记住它。众所周知,dede默认管理后台都是,“域名/dede”,黑客是最新喜欢这种不修改默认登录地址的网站了,多省事。

2、  请直接删除“install”目录,留着无用,而且还有会祸害网站安全,删了吧!删除系统安装程序,这个操作时安装所有php开源程序的共性,如joomla安装完毕后,如果不删除安全目录(installation)是无法打开网站首页的,我认为DEDE官方开发团对可以借鉴这个经验。

3、  Dede安装前你是否计划过,你需要dede的那些功能系统?如果你没有?那么现在就开始,将不需要的功能系统都删除,在这里我引用前文“Joomla!建站html" target="_blank" class="relatedlink">seo优化误区(joomla建站seo建议)”中的一段话“简化你的网站模板,减少网站功能”,功能最小化安装使用dede系统(在满足自己需求前提下),是你安全使用dedecms系统的前提。所有PHP开源程序安全设置都有相通之处,要学会举一反三。你不妨可以学习本站其它开源系统的网站安全设置经验。

下面是我整理出的一些dede站点目录的位置,如果你不熟悉dedecms系统站点目录结构你可以参照设置:

/member 会员功能模块

/special专题功能

/install安装程序

/company企业功能模块

/plusguest/book 留言板

其它模块,也可以不要就删除它,上面红色标记的,我已经在道勤php空间安装并做了测试确认可以直接删除,不会影响dede正常运行,其余的文件用户可以参考官方文档操作。最好是在安装DEDE系统前有计划的,选择不安装,省掉后期的麻烦。我再次特别强调/install安装程序,强烈删除它。

4、  密码一直是我很揪心的问题,我在前面写joomla开源cms系列文档中都特别多次强调过,强壮密码,一定需要一个强壮的密码才能起到保护网站安全的作用,否则就是一个灾难。如果黑客通过注入,获取到管理员密码的MD5加密代码,然后反向编译MD5代码,是不是会瞬间瓦解你的网站?所以,请设置一个强壮的密码吧,强壮到让它无法反向编译你的密码。请不要小觑了黑客通知的实力。

5、  黑客同志最喜欢的目录?

黑客同志最喜欢的目录,就是dede管理员目录/dede,dedecms后台的文件管理器就在这里,这里经常被黑客同志所利用,用它来挂马,这也就是为什么在本文第一条就要强调要修改dede的网站管理地址的原因。黑客可以利用如下红色字体文件,进行上传木马。这也是黑客为什么乐此不疲的不断寻找dede后台管理地址的原因了。

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php media_edit.php

media_main.php

    请删除红色字体文件一切为了安全。道勤主机(www.daoqin.net)在测试挂马注入点的时候,还发现dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的网马注入点,用户可以根据网站需要删除。这些都是黑客喜欢利用、挂马的文件。其中DEDE后台的SQL命令运行器,是我们常忽视的地方,如果不常用,或根本不用,毫不犹豫删除它。

6、  拿来主义,网上流传的经典防黑客注入方法(DEDE防注入两方法)

一是将每个目录添加空的index.html,防止目录被访问;

二是给做好网站301页面、403页面、404页面可以禁止访问某页或某文件。

上面的方法道勤主机没有经过测试,不知是否有效,如果你正在使用或测试可行,你可以与我们交流,分享你的成功。

7、  php虚拟主机的选择。我在joomla安装前的准备工作中提到,“php语言开发的系统,最好的架设平台是linux系统”,也只有Linux才能完美发挥出php加MySQL的效率,而且,linux操作系统受到病毒影响几率要远远小于windows系统的php空间。道勤主机是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署,完美支持织梦网站管理系统(dedeCMS)的php虚拟主机。点击查看dede系统演示平台

8、  织梦网站网站内容管理系统(dedecms)开发团体也在不断关注产品用户的体验度、产品的安全、稳定、bug、等问题,请用户及时从官方网站(www.dedecms.com)获取最新的版本,和升级补丁。让织梦系统,为我们站长编织一张美丽的网赚之路



道勤主机提供365天*24小时全年全天无休、实时在线、零等待的售后技术支持。竭力为您免费处理您在使用道勤主机过程中所遇到的一切问题! 如果您是道勤主机用户,那么您可以通过QQ【792472177】、售后QQ【59133755】、旺旺【诠释意念】、微信:q792472177免费电话、后台提交工单这些方式联系道勤主机客服! 如果您不是我们的客户也没问题,点击页面最右边的企业QQ在线咨询图标联系我们并购买后,我们为您免费进行无缝搬家服务,让您享受网站零访问延迟的迁移到道勤主机的服务!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

道勤网- 推荐内容!上一条 /2 下一条

!jz_fbzt! !jz_sgzt! !jz_xgzt! 快速回复 !jz_fhlb! !jz_lxwm! !jz_gfqqq!

关于我们|手机版|小黑屋|地图|【道勤网】-www.daoqin.net 软件视频自学教程|免费教程|自学电脑|3D教程|平面教程|影视动画教程|办公教程|机械设计教程|网站设计教程【道勤网】 ( 皖ICP备15000319号-1 )

GMT+8, 2024-11-19 18:33

Powered by DaoQin! X3.4 © 2016-2063 Dao Qin & 道勤科技

快速回复 返回顶部 返回列表