主机头

 找回密码
 立即注册
查看: 2120|回复: 1
打印 上一主题 下一主题

dedecms安全防黑设置搜集版本

[复制链接]

879

主题

2

好友

5477

积分

管理员

Rank: 9Rank: 9Rank: 9

跳转到指定楼层
楼主
发表于 2014-9-14 22:36:13 |只看该作者 |倒序浏览
很多专家发了文章了。我就摘录下来了。
首先介绍一下某同学的办法。他的办法是删除install、members、plus等含有php文件的目录,这样一来,小混混们便无处下手。这无疑是一种首选的办法。

而系统后台的安全操作提示,比如:把data目录放在根目录之外、把一些目录的php文件可执行权限去处,被证明是无效的!

    1.目前data、uploads有执行.php权限,非常危险,需要立即取消目录的执行权限! 查看如何取消
    2.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT);


现在说说我的经验:

1. FTP远程生成文件
说起来简单,但是做起来极其复杂。因为DEDE的远程生成系统也浑身是洞,很多时候你根本就不知道问题出在哪里,就是无法深成文件。另外,远程服务器的延迟让文件生成过程变得十分冗长痛苦。所以不推荐。

2. 软连接
这种方式只适用于Linux系统。方法是:把Dedecms的安装目录作为根目录的子目录,然后把对应的目录生成软连接。
比如:我的网站是 www.zhujitou.com,我把DEDE装在 /nizhaobudao 目录里面,然后在 / 目录下生成几个软连接:

    ln -s nizhaobudao/index.html index.html
    ln -s nizhaobudao/images images
    ln -s nizhaobudao/style style



这样就在根目录下生成了所有静态目录的快捷方式,那么,如果小混混们扫描不到 nizhaobudao 这个目录,就拿你没办法。

3. url重写,以apache为例





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册


感谢支持主机头,如果有问题可以联系我的QQ。目前提供各种服务。
网站建设,网站优化,美国VPS购买,VPS环境配置等。
目前通过本站购买VPS的话,可以免费帮忙配置环境。
付费提供DISCUZ PW DEDECMS技术支持。
www.www88.me
回复

使用道具 举报

879

主题

2

好友

5477

积分

管理员

Rank: 9Rank: 9Rank: 9

沙发
发表于 2014-9-14 22:37:42 |只看该作者
本章我们笼统的讲解织梦安全设置!
一:常规安全设置
安装程序后,一定修改dede这个文件夹名称,也就是修改你的后台路径!
后台管理员不要使用admin或者其他一类很容易被猜到的账号!
使用最新版的dede cms建站,经常注意后台的升级信息哦!
如果你的dede程序用不到会员功能,请删除member这个文件夹,如果必须使用,请下载本专题最后提供的360安全补丁!
二:将DATA目录移动到上一层目录
   我们这里以锦尚数据的主机举例,以“dedecms/web”为我们系统的根目录,我们需要将web目录下的data文件夹(如图1-4)迁移要上一级目录(dedecms目录中或者dedecms目录中的一个文件夹),简单的办法直接剪切或者拷贝即可,虚拟主机的用户可以通过Ftp软件的右键移动功能,我们这里以移动到dedecms下的db这个文件夹为例。
三:找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。(如图5) D
EDECMS安全专题,
四:系统后台,在系统配置中修改模板缓存目录tplcache目录为你相对的目录,比如/../db/data/tplcache

修改网站的首页文件index.php中的/data/common.inc.php也为相对的目录,比如/../db/data/common.inc.php
五:进入360检测中心提供的dedecms安全修复补丁
本安全补丁包,仅适合织梦DedeCMS v5.7 SP1正式版 (2013-07-15发布),对不满足此版本的用户,可以先去官方先升级至这个版本,然后使用我们补丁包覆盖安装, 本安全补丁共修复12个高危漏洞,并且集成了 360网站安全检测的后门查杀和漏洞修复功能。
资源下载:下载DedeCMS V5.7 GBK补丁  下载DedeCMS V5.7 UTF补丁
六:最后加固
如果有服务器或者VPS权限,将data、templets、uploads、a或html目录, 设置可读写,不可执行的权限,

include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。


感谢支持主机头,如果有问题可以联系我的QQ。目前提供各种服务。
网站建设,网站优化,美国VPS购买,VPS环境配置等。
目前通过本站购买VPS的话,可以免费帮忙配置环境。
付费提供DISCUZ PW DEDECMS技术支持。
www.www88.me
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

主机头版权声明|百度地图|谷歌地图|Archiver|手机版|主机头

GMT+8, 2024-11-25 09:08

Powered by Discuz! www.zhujitou.com

© 2001-2012 主机头.

回顶部