DEDECMS织梦内容管理系统安全设置(防范网站注入挂马)
“dede”太脆弱了,早不用早解脱”,
“DEDE安全吗,怎么总是被入侵挂马? ”,
“天,怎么回事,又被挂马了”
经常能碰到这样的抱怨。不“人云亦云”这是5G云(www.5g-yun.com)一贯的观点。如果织梦网站管理系统(dedeCMS),真的那么脆弱,那么容易被挂马,那为什么还那么多人选择使用它?据我所知,dede管理系统是有非常多的用户群体的。“网站没有绝对的安全,只有勤劳的站长”我在“5G云教你如何使用joomla安全建站(防黑)”中讲了很多关于建站要注意的网站安全设置经验,你可以阅读借鉴它。你有抱怨的时间,还不如仔细检查下自己的网站是否做好了安全防范措施。
下面我将要告诉一个勤劳、智慧的站长安装完dede系统后必须要做的事情:
1、 修改DEDE默认的网站后台管理地址,请一定要将/dede,目录改名,并且为复杂用户名,并记住它。众所周知,dede默认管理后台都是,“域名/dede”,黑客是最新喜欢这种不修改默认登录地址的网站了,多省事。
2、 请直接删除“install”目录,留着无用,而且还有会祸害网站安全,删了吧!删除系统安装程序,这个操作时安装所有php开源程序的共性,如joomla安装完毕后,如果不删除安全目录(installation)是无法打开网站首页的,我认为DEDE官方开发团对可以借鉴这个经验。
3、 Dede安装前你是否计划过,你需要dede的那些功能系统?如果你没有?那么现在就开始,将不需要的功能系统都删除,在这里我引用前文“Joomla!建站SEO优化误区(joomla建站seo建议)”中的一段话“简化你的网站模板,减少网站功能”,功能最小化安装使用dede系统(在满足自己需求前提下),是你安全使用dedecms系统的前提。所有PHP开源程序安全设置都有相通之处,要学会举一反三。你不妨可以学习本站其它开源系统的网站安全设置经验。
下面是我整理出的一些dede站点目录的位置,如果你不熟悉dedecms系统站点目录结构你可以参照设置,
删除网站根目录的以下模块:
/member 会员功能模块
/special专题功能
/install安装程序
/company企业功能模块
/plusguest/book 留言板
其它模块,也可以不要就删除它,上面红色标记的,我已经在5G云B型空间安装并做了测试确认可以直接删除,不会影响dede正常运行,其余的文件用户可以参考官方文档操作。最好是在安装DEDE系统前有计划的,选择不安装,省掉后期的麻烦。我再次特别强调/install安装程序,强烈删除它。
4、 密码一直是我很揪心的问题,我在前面写joomla开源cms系列文档中都特别多次强调过,强壮密码,一定需要一个强壮的密码才能起到保护网站安全的作用,否则就是一个灾难。如果黑客通过注入,获取到管理员密码的MD5加密代码,然后反向编译MD5代码,是不是会瞬间瓦解你的网站?所以,请设置一个强壮的密码吧,强壮到让它无法反向编译你的密码。请不要小觑了黑客通知的实力。
5、 黑客同志最喜欢的目录?
黑客同志最喜欢的目录,就是dede管理员目录/dede,dedecms后台的文件管理器就在这里,这里经常被黑客同志所利用,用它来挂马,这也就是为什么在本文第一条就要强调要修改dede的网站管理地址的原因。黑客可以利用如下红色字体文件,进行上传木马。这也是黑客为什么乐此不疲的不断寻找dede后台管理地址的原因了。
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php media_edit.php
media_main.php
请删除红色字体文件一切为了安全。5G云(www.5g-yun.com)在测试挂马注入点的时候,还发现dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的网马注入点,用户可以根据网站需要删除。这些都是黑客喜欢利用、挂马的文件。其中DEDE后台的SQL命令运行器,是我们常忽视的地方,如果不常用,或根本不用,毫不犹豫删除它。
6、 拿来主义,网上流传的经典防黑客注入方法(DEDE防注入两方法)
一是将每个目录添加空的index.html,防止目录被访问;
二是给做好网站301页面、403页面、404页面可以禁止访问某页或某文件。
上面的方法5G云没有经过测试,不知是否有效,如果你正在使用或测试可行,你可以与我们交流,分享你的成功。
7、 php虚拟主机的选择。我在joomla安装前的准备工作中提到,“php语言开发的系统,最好的架设平台是Linux系统”,也只有Linux才能完美发挥出php加MySQL的效率,而且,linux操作系统受到病毒影响几率要远远小于windows系统的php空间。5G云是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署,完美支持织梦网站管理系统(dedeCMS)的php虚拟主机。点击查看dede系统演示平台
8、 织梦网站网站内容管理系统(dedecms)开发团体也在不断关注产品用户的体验度、产品的安全、稳定、bug、等问题,请用户及时从官方网站(www.dedecms.com)获取最新的版本,和升级补丁。让织梦系统,为我们站长编织一张美丽的网赚之路
防止网站被黑,增强网站安全文件:360_SAFE3.PHP-防SQL注入代码
这个方法非常有效,是360官方提供的解决方案,就是利用这个文件360_safe3.php来防止sql注入,进一步提升网站数据库安全。很多站长对这个网站安全看得非常重,这个SQL注入漏洞是非常之恨,如果用恨之入骨这个词来形容不足为过;现在有防止SQL代码注入的文件,你会选择不使用么?那就把你的目光聚集到下面重要的步骤吧。
代码偏多,5G云小编就不在这里展现文件代码,点击此处下载此文件:下载地址。
下面是对这个文件的使用方法:
首先,把这个360_safe3.zip文件下载下来,然后解压出来,把360_safe3.php文件上传到您的网站根目录下面,5G云网站根目录是public_html;
然后在需要防护的页面中添加防护代码:require_once(‘360_safe3.php’);这样就可以做到页面防注入、跨站;如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.php中!也还是添加require_once(‘360_safe3.php’);来调用本代码;
下面是一些常用PHP开源程序系统的配置文件路径:
DEDECMS5.7 \data\common.inc.php
Discuz X3 \config\config_global.php
Wordpress \wp-config.php
Metinfo \include\head.php
PHPCMS V9 \phpcms\base.php
PHPWIND8.7 \data\sql_config.php
EmpireCMS config.php ./e/class/config.php
Zen Cart configure.php ./includes/configure.php
Ecshop config.php ./data/config.php
可能还有写PHP程序的配置文件没有列出来,大家自己加上那段代码就可以了的哦。
公网安备: