“dede”太脆弱了,早不用早解脱”,“DEDE安全吗,怎么总是被入侵挂马? ”,“天,怎么回事,又被挂马了”经常能碰到这样的抱怨。不“人云亦云”这是道勤主机(www.51php.com)一贯的观点。如果织梦网站管理系统(Dedecms),真的那么脆弱,那么容易被挂马,那为什么还那么多人选择使用它?据我所知,dede管理系统是有非常多的用户群体的。“网站没有绝对的安全,只有勤劳的站长”我在“道勤主机教你如何使用joomla安全建站(防黑)”一文中讲了很多关于建站要注意的网站安全设置经验,你可以阅读借鉴它。你有抱怨的时间,还不如仔细检查下自己的网站是否做好了安全防范措施。
下面我将要告诉一个勤劳、智慧的站长安装完dede系统后必须要做的事情:
1、 修改DEDE默认的网站后台管理地址,请一定要将/dede,目录改名,并且为复杂用户名,并记住它。众所周知,dede默认管理后台都是,“域名/dede”,黑客是最新喜欢这种不修改默认登录地址的网站了,多省事。
2、 请直接删除“install”目录,留着无用,而且还有会祸害网站安全,删了吧!删除系统安装程序,这个操作时安装所有php开源程序的共性,如joomla安装完毕后,如果不删除安全目录(installation)是无法打开网站首页的,我认为DEDE官方开发团对可以借鉴这个经验。
3、 Dede安装前你是否计划过,你需要dede的那些功能系统?如果你没有?那么现在就开始,将不需要的功能系统都删除,在这里我引用前文“Joomla!建站seo优化误区(joomla建站seo建议)”中的一段话“简化你的网站模板,减少网站功能”,功能最小化安装使用dede系统(在满足自己需求前提下),是你安全使用dedecms系统的前提。所有PHP开源程序安全设置都有相通之处,要学会举一反三。你不妨可以学习本站其它开源系统的网站安全设置经验。
下面是我整理出的一些dede站点目录的位置,如果你不熟悉dedecms系统站点目录结构你可以参照设置:
/member 会员功能模块
/special专题功能
/install安装程序
/company企业功能模块
/plusguest/book 留言板
其它模块,也可以不要就删除它,上面红色标记的,我已经在道勤php空间安装并做了测试确认可以直接删除,不会影响dede正常运行,其余的文件用户可以参考官方文档操作。最好是在安装DEDE系统前有计划的,选择不安装,省掉后期的麻烦。我再次特别强调/install安装程序,强烈删除它。
4、 密码一直是我很揪心的问题,我在前面写joomla开源cms系列文档中都特别多次强调过,强壮密码,一定需要一个强壮的密码才能起到保护网站安全的作用,否则就是一个灾难。如果黑客通过注入,获取到管理员密码的MD5加密代码,然后反向编译MD5代码,是不是会瞬间瓦解你的网站?所以,请设置一个强壮的密码吧,强壮到让它无法反向编译你的密码。请不要小觑了黑客通知的实力。
5、 黑客同志最喜欢的目录?
黑客同志最喜欢的目录,就是dede管理员目录/dede,dedecms后台的文件管理器就在这里,这里经常被黑客同志所利用,用它来挂马,这也就是为什么在本文第一条就要强调要修改dede的网站管理地址的原因。黑客可以利用如下红色字体文件,进行上传木马。这也是黑客为什么乐此不疲的不断寻找dede后台管理地址的原因了。
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php media_edit.php
media_main.php
请删除红色字体文件一切为了安全。道勤主机(www.daoqin.net)在测试挂马注入点的时候,还发现dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的网马注入点,用户可以根据网站需要删除。这些都是黑客喜欢利用、挂马的文件。其中DEDE后台的SQL命令运行器,是我们常忽视的地方,如果不常用,或根本不用,毫不犹豫删除它。
6、 拿来主义,网上流传的经典防黑客注入方法(DEDE防注入两方法)
一是将每个目录添加空的index.html,防止目录被访问;
二是给做好网站301页面、403页面、404页面可以禁止访问某页或某文件。
上面的方法道勤主机没有经过测试,不知是否有效,如果你正在使用或测试可行,你可以与我们交流,分享你的成功。
7、 php虚拟主机的选择。我在joomla安装前的准备工作中提到,“php语言开发的系统,最好的架设平台是linux系统”,也只有Linux才能完美发挥出php加MySQL的效率,而且,linux操作系统受到病毒影响几率要远远小于windows系统的php空间。道勤主机是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署,完美支持织梦网站管理系统(dedeCMS)的php虚拟主机。点击查看dede系统演示平台
8、 织梦网站网站内容管理系统(dedecms)开发团体也在不断关注产品用户的体验度、产品的安全、稳定、bug、等问题,请用户及时从官方网站(www.dedecms.com)获取最新的版本,和升级补丁。让织梦系统,为我们站长编织一张美丽的网赚之路