在2012年3月份就有关于织梦cms系统被植入后门的报道,而黑客(hacker)可通过此后门直接获得网站的控制权限,获取存储在服务器上的文件和数据库。这对网站来说,构成了极大的危险。那么织梦cms网站的安全性如何设置呢?思源大致总结了以下三点,虽然不敢说百分百保证网站不被攻击,至少不会那么容易被攻击。 1、织梦cms后台管理目录名以及用户名和密码的修改 修改织梦cms后台的管理目录名(一般默认都是dede文件名,你可以把它改成加密的文件名,不过登录的时候,就显得麻烦,谁也记不住那么长的一串字符,不过为了安全性起见,还是建议修改成复杂的文件名)。一般来讲,黑客(hacker)要入侵一个网站,一般都是通过sql注入破解网站后台管理员账号密码,然后登录到后台,上传木马,获取webshell提权,直到完全控制整个网站。如果我们能及时修改管理员表的表名和网站后台的管理目录名以及后台登录用户名和密码,那么黑客(hacker)们就无法破解网站的管理员账号,即便获取了管理员账号,也可能因为无法知道网站后台管理目录而无法登录以至于放弃。 当然了,对于织梦cms管理员表名和后台管理目录的修改,应尽量不要出现admin或manager关键字,这样的话,可以加大黑客(hacker)的破解难度。需要注意的是,在数据库中修改管理员表名后要修改源码中相应的表名。织梦V5.7中一共有27处需要修改,大家可以通过搜索 “dede_admin”进行替换,自己搞定,这里不多说。 2、更改织梦cms数据库表的前缀通配符(#@_) 这里说的织梦cms数据库表的前缀通配符不是指安装时输入的数据库表名的前缀,而是指系统源码中的“#@_”字符串。如果我们修改了源码中的“#@_”字符串,对于黑客植入我们网站的相关文件来讲,这些文件是不能起到任何作用的。 3、修数织梦cms数据库初连接配置文件 修改织梦cms数据库初链接配置文件,这点也十分重要。 在织梦cms的数据库:data/common.inc.php文件中,记录着数据库连接信息,而这些信息都是明文的,对网站的安全性构成了一定威胁。我们可以用两种方法来让它变得安全。 第一种办法:添加多个变量(几十个甚至上百个),这些变量中只有六个是真正起作用的,其他的都是用来扰乱黑客的判断。 第二种办法:给数据加密,不过这种需要站长们有一定的编程技术。无论哪种方法,都需要在数据库初始化类中做相应修改,但第一种方法只需改几个变量名,相对就简单多了。大家可以根据自己的情况,选择一种比较简单适合自己的方法。 以上就是针对织梦cms网站安全性的可以采取的相关设置方法,大家可以试试 |