各类知识收集,PHP技术分享与解决方案各类知识收集,PHP技术分享与解决方案各类知识收集,PHP技术分享与解决方案

Str Tom,为分享PHP技术和解决方案,贡献一份自己的力量!
收藏本站(不迷路),每天更新好文章!
当前位置:首页 > CMS教程 > dedecms

dedecms织梦安全设置

管理员 2016-03-19
dedecms
110

官方设置(推荐):
1、以下目录:data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可以在后台进行更改;
2、以下目录:include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改;
3、如果不需要使用会员、专题,可以直接删除member、special目录;
4、删除install安装目录;
5、管理员帐号密码尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限;
6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限;
7、定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复。

网友总结一:
不知道大家知不知道一个软件叫IntelliTamper的,这是个网站目录扫描工具,用这个工具扫描下你的网站就可以扫描出网站的目录,当然也可以看到DEDE后台文件名。在这里不得不吐槽下后台地址的问题,dedeCMS改后台地址只要改下DEDE文件夹的名字就行了,然后有次我在一个电商公司管理ECShop系统,技术部的老总(他P都不懂)在旁边,我跟他说网站改下后台地址就更安全了。于是我跟用DEDE一样改下后台文件夹名字,然后…..FK,竟然出错了,当时脸红红的(窘…)。上度娘一查,原来还要修改一些PHP文件才可以的。然后这次玩WP,不敢乱改后台文件夹的名字了,再次上度娘找改后台地址的方法,妹的,竟然没一个好用的…..(貌似我又跑题了)
所谓的安全方案原理就是:网站所有静态页面生成到根目录,对浏览者隐藏dede安装目录。这样别人不管用什么工具都不能检测到你的后台地址了。
在这里所说的,就是你把网站做好,在空间或者服务器上安装好了之后,网站运行一切正常,再设置安全方案,当然,最好是在本地就把安全方案也一块做了。
1.主页生成路径
把主页生成路径的位置改成 ../../index.htm

2.修改栏目文件保存位置
把核心-网站栏目管理-选一个栏目更改,然后在文件保存目录那 的 {cmspath}/a/xinwendongtai 把{cmspath} 删掉,也就是说只要 /a/xinwendongtai 前面的斜杠记得留着,注意:必须每个栏目都点击更改来删除,当然你也可以到数据用替换命令。改完确定后,静态文件就会保存在根目录的a文件夹里面了。
修改include/common.inc.php文件
打开根目录下的include文件夹,找到里面的common.inc.php打开,搜索里面的
$cfg_medias_dir = $cfg_cmspath.$cfg_medias_dir;
$cfg_mediasurl = $cfg_mainsite.$cfg_medias_dir;
改成
$cfg_medias_dir =$cfg_medias_dir;
$cfg_mediasurl =$cfg_medias_dir;

$cfg_mainsite.是指网站根目录 $cfg_mainsite.是指网站缩略图路径,就是把缩略图路径改到根目录。大家知道,缩略图是放在DEDE后台目录下的images文件夹,所以…..

打开include/arc.listview.class.php跟 include/taglib/arclist.lib.php查找defaultpic.gif,就是缩略图的文件名。定位到
$row[‘litpic’] = $GLOBALS[‘cfg_cmspath’].’/images/defaultpic.gif’;
把images前面的 $GLOBALS[‘cfg_cmspath’]. 删除,就变成
$row[‘litpic’] = ‘/images/defaultpic.gif’;
注意:这两个文件只会影响arclist和list标签调默认缩略图。还有其它一些标签也可以调默认缩略图的。
还要在模板文件中不能使用{dede:global.cfg_templets_skin/}标签,一使用就会暴露dede安装目录的名字,请自行查找。

DEDE织梦CMS终极安全解决方案
移动css文件、JS文件、图片文件

因为模板用的样式文件图片都是放在模板文件夹中,一看址就会暴露,所以,这里要把网站涉及的css文件、JS文件、图片文件通通放到根目录。然后到模板里面修改图片还有样式文件调用的路径。建议到本地修改,因为DW的替换功能可以文件夹替换,一般都是删除{dede:global.cfg_templets_skin/}就可以了。
移动DEDE文件

到根目录新建一个文件夹,比如改名xiedandan,名字自己取,然后把data、dede、include、plus、special、tags.php移动到新建的文件夹xiedandan中,所以后台登陆地址就是www.xiedandan.com/xiedandan/dede
注意:member文件夹是会员功能,如果不用的可以删除,当然,你也可以一起移动到新建的文件夹中。什么?install文件夹你都不删除?这是安装文件阿,装好后必须删!
还有将dede安装目录下的uploads复制到根目录。
最后来张全家福
DEDE织梦CMS终极安全解决方案
最后的最后,再用IntelliTamper检测下你的网站吧,看看是不是检测不到模板、后台地址了?

网友总结二:
本人以前所有dede的网站都被黑了,dede是好用,优化也好,就是不安全,个人是这样认为的,所以以后网站都不敢用dede,直到昨天一哥们发我收集dede的所有安全设置,里面写得很细,一看,还真多,如果做好这些安全设置的话,就不要怕网站被黑了!

其一:保持DEDE更新,及时打补丁。
其二:装好DEDE后及时把install文件夹删除
其三:管理目录改名,最好是改成MD5形式的,最好长点
其四:DedeCms 万能安全防护代码http://bbs.dedecms.com/read.php?tid=15538
其五:如果是使用HTML可以把plus下的相应文件和根目录下的index.php做掉(用不到的全删掉,还可以把数据库里面不用的表删除掉)
其六:不用留言本的可以把如:www.xxxxxx.com/plus下的guestbook做掉
其七:不用会员的可以把member做掉
其八:www.xxxxxx.com后台的文件管理(管理目录下file_manage_xxx.php),不用的可以做掉,这个不是很安全,至少进了后台上传小马很方便
其九:下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以做掉,这个也比较容易上传小马的
最安全地方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全。

第一:挂马前的安全措失
a、改更默认管理目录dede。
b、检查install目录里是否存在install.lock文件。有用户没给install目录写权限导致安装的时候没有生成lock文件。安装完成后可整个删除intstall目录。
c、关注后台更新通知,检查是否打上最新dedeCMS补丁
d、服务器web目录权限设置
有条件的用户把DedeCms中data、templets、uploads、html、special、images、install目录设置为不允许执行脚本,其它目录禁止写入,系统将更安全。
e、建议到官方下载程序
f、服务器安全措施(以windows2003系统为例)

1、更新系统补丁到最新的,并打开自动更新
2、安装杀毒软件,更新病毒库到最新,并打开自动更新
3、打开系统自带的防火墙,开放应用中的端口,以过滤不必要的端口访问
4、打开tcp/ip安全策略,开放应用中的端口,以过滤不必要的端口访问
5、打开用户与用户组管理,添加IUSR用户对应不同WEB站点,以便分权限管理减少因一站点被黑带来的权限危机
6、针对不同的WEB目录设置不同的权限

例:WebSiteA目录对应权限一般为system/administrators完全权限 IUSR_websiteA只读权限
WebsiteA下面的子目录根据DedeCMS程序的需求分配IUSR_websiteA的写入运行权限,详见上面b点目录权限说明
7、不要在服务器上安装不明来路的软件
8、不要在服务器上安装什么破解版汉化版软件,如果实在需要建议用原版
9、建议不要安装ServU FTP软件,换用其它的FTP软件,更改FTP端口,用户密码不要太简单
10、如果不需要请尽量关闭服务应用的远程访问功能,如mysql user的远程访问
11、针对上面一点,可以运用本地安全策略功能,设置允许访问IP。
12、运用本地安全策略,还可以有效拒绝CC攻击,过滤来源IP的访问。
13、服务器上各项服务应用注意及时更新补丁,如mssql切记打补丁,而且要使用正版的,没条件的也要使用正规的复制版本
14、服务器上的各项应用如IIS配置mysql配置,请搜索百度谷歌这方面的安全应用的专题,加强内功是很重要的。
15、开启IIS的访问日志记录

第二:挂马后的安全检查
必要时关闭网站进入一步步排查
a、进DedeCMS管理后台检查是否有新补丁或安全提醒没有及时更新。
b、检查源文件中是否有相应木马病毒代码,以确认是否为ARP攻击

ARP攻击表现:程序文件毫无异动,攻击是采用欺骗目标网关以达到欺骗用户端的效果,实现用户端访问网站加载木马的目的。
ARP攻击防范:对服务器加装防ARP攻击类的软件及其它应对措施,或联系您的IDC服务商。
c、检查目录权限,详见第一大点里的安全措施。
d、检查FTP里的每一个目录,查找最近被修改过的可疑文件。
1、用记事本等类工具打开查找,如果是真被挂马,这里分析下都能找到。
2、如果是整站被挂,请着重先检查下整站调用的js文件。
3、从文件中找出被挂的代码,复制代码的关键语句部分,打开替换类软件批量替或批量找吧。
4、上面一步需要有服务器控制权限,没有的话只能下载回来批了。(这是谨慎的办法,如果你有把握那可以只检查部分文件或目录)
e、上面还是解决不了,那得分析IISLOG日志,追根朔源查找入侵点。
你可以下载IISlog分析类软件研究。

第三:如何向官方求助或报告安全问题?
1、查看木马、可疑文件的修改时间
2、查看站点系统日志,对照第1点所获得的时间,找出挂马的方式。
3、请先认真阅读理解一二大点,确认仍无法解决的,请论坛PM官方技术支持

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除! 织梦安全

相关文档推荐

17个防止dedeCMS织梦网站被黑挂马的小技巧 dede织梦cms系统的程序存在漏洞,黑客攻击方法层出不穷,导致网站经常被黑,被百度安全中心等拦截,影响排名和流量,让站长非常头疼,下面总结一些防止dede织梦cms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。 1.安装时数据库的前 织梦dedecms如何更改plus文件夹名称 dedecms有很多漏洞都是出自plus文件夹下的文件,网上有很多挂马工具都有自动扫描网站PLUS目录功能用来匹配漏洞文件,因此为了避免被漏洞入侵,我们可以重命名PLUS文件夹,并将里面无用的文件都清理干净,DEDECMS重命名PLUS目录需要改动对应关系,方法如下 打 几条实用的预防Dede织梦网站被挂马方法 对刚学习dedecms织梦的同学,当在本地调试好网站上传到服务器后,在没有采取防护的情况下,网站很容易被挂马,挂马后,网站首页会被篡改,或者网站被恶意跳转到别的不相关的网站上。所以为了避免这种情况的发生,小编整理了几条织梦网站仿挂马的建议,希望能 织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法 最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。 原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉 织梦被挂了黑链的可能原因和排查清除办法 经常听一些身边的朋友说,织梦的安全性太差了,网站刚上线就被黑了。其实我要说的是,并不是织梦的安全性差,大部分被黑的网站很大一部分是自身没有做好安全的设置。就比如之前有一些客户,跟版网小编帮客户装好网站后,还特意提示要及时修改账户密码,客户 dedecms织梦 /member/reg_new.php SQL注入漏洞 1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 http://127.0.0.1/dedecms5.7/member/reg_new.php?dopost=regbaseamp;step=1amp;mtype=%B8%F6%C8%CBamp;mtype=%B8%F6%C8%CBamp;userid=123asd123amp;uname=12asd13123amp;userpwd=123123amp;userpwdok= 织梦安装使用织梦二次开发织梦优化织梦标签dedecms教程织梦安全 织梦资讯网 织梦模板 dede 外语学校 织梦鬼故事 竞价网站源码 竞价培训网 门户网站 织梦二次开发 织梦笑话网 dedecms笑话网 织梦源码 网站建设 搞笑图片 织梦教程 旅游网站源码 织梦旅游网 学校培训 html5 企业织梦源码 医院源码 后台样式 移动营销页 整形医院 大学医院 新手建站 客服代码 洗衣机维修 企业网站 淘宝客 导航菜单 教育网站 学校源码 装修网站 装修模板 美容整形 女性健康 妈妈网 机械源码 建站公司 珠宝首饰 苹果网站 手机资讯 美女图片 织梦模版打包 妇科源码 安卓市场源码 男性时尚网 健康之家 app应用网站 笑话网站 下载站 美女图片网 中医院网站 家装网站源码 QQ网站 标牌网站 魔兽世界网 淘宝客源码 YY网站源码 别墅设计网站 服装搭配网 宝宝起名网 站长网站 婚庆网站 脑科医院源码 笑话源码 肝胆医院 意外怀孕源码 工作室

相关推荐

扫码关注

qrcode

QQ交谈

回顶部