一��、織夢安全防御措施目錄權限設置
設置可以讀寫的不給執行權限,可以執行腳本的不給讀寫權限
將data��、templets��、uploads、a或html目錄��, 設置可讀寫��,不可執行的權限,
include��、member、plus��、后臺管理目錄 設置為可執行腳本��,可讀��,但不可寫入(安裝了附加模塊的��,book��、ask��、company、group 目錄同樣如此設置)��。
安裝文件install不要刪除��、刪除服務器的install文件夾��、留著本地的install文件夾方便下次搬家使用
二、利用偽靜態禁止某個目錄php和htm等腳本運行
Linux系統的用戶通常是apache環境��,可以利用.htaccess文件來禁止php執行權限��,在網站根目錄新建.htaccess復制以下代碼添加進去(如果已有.htaccess文件就直接復制就可以)
RewriteEngine on
#安全設置 禁止以下目錄運行指定php腳本
RewriteCond % !^$
RewriteRule a/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule imges/(.*).(php)$ – [F]
RewriteRule css/(.*).(php)$ – [F]
RewriteRule js/(.*).(php)$ – [F]
RewriteRule style/(.*).(php)$ – [F]
RewriteRule skin/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php|htm)$ – [F]
RewriteRule uploads/(.*).(php)$ – [F]
注意:這個在本地是禁止運行php和htm了,但是服務器是虛擬主機的還需要開啟php.ini才會生效
怎么測試呢��,就是放一個php或者htm到禁止的目錄然后運行��,出現404跳轉才算生效��,90%的人都不注意這個問題
三��、刪除plus中無用的文件
/plus/count.php 閱讀次數統計 保留
/plus/diy.php 自定義表單 保留
/plus/list.php 動態瀏覽欄目頁 保留
/plus/search.php 搜索 保留
/plus/view.php 動態瀏覽文章 保留
/plus/flink.php /plus/flink_add.php 友情鏈接添加和刪除 如果用到友情鏈接的需要保留
只要保留這個幾個就好了��,其他的統統刪掉
/plus/download.php 下載次數統計/下載功能 如果用到軟件下載功能的需要保留
/plus/ad_js.php 調用廣告,企業站可以刪除 如果用到廣告的可以保留��,不過這個掛馬嚴重
四��、刪除后臺文件在線管理功能��,和用不到的功能統統刪掉��,刪除用不到的多余的php和htm
五��、member會員功能用不到的刪除��,用的到的就留下,刪除用不到的多余的php和htm
六��、更改默認的admin用戶,改名或者更換其他id的用戶做管理員��,更改登錄名和昵稱
七、修改dede后臺目錄��,最好字母��、數字��、符號都用 列如dede改名為:H'12o@dede_l15op(字母��、數字��、符號都用改長點也可以)
更改dede目錄下的index.php名字��,例如:index1.php
更改dede目錄下的login.php名字��,列如:login1.php
更改dede/templets目錄下的login.htm名字��,列如:login1.htm
小提醒:具體操作在本站搜索“后臺”
新建index.php 跳轉改下url=https://www.CUOxin.com/member/index.php 有會員跳轉到會員登錄��,沒有就去掉member跳轉到首頁
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Refresh" content="0; url=https://www.CUOxin.com/member/index.php"/><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>以朋友為名</title></head><body></body></html>
八��、設置404.html��,和其他錯誤頁跳轉��,最好的就是在每個文件夾下新建一個空白的index.html禁止文件目錄被訪問
inde.html代碼如下 url=https://www.CUOxin.com 跳轉域名改為你自己的��,或index.html者空白也頁可以
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Refresh" content="0; url=https://www.CUOxin.com"/><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>以朋友為名</title></head><body></body></html>
404.html也可以這樣寫 放在網站根目錄就好了
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Refresh" content="0; url=https://www.CUOxin.com"/><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>404</title></head><body></body></html>
好了��,織夢安全防御措施及目錄權限設置教程到此結束��。用織夢內核一定要做好安全��、安全��、還是安全��。ps:如果連搗鼓都不會就不要用織夢內核了��。
小提醒:最容易被掛馬的目錄就是plus��、include還有根目錄的index.php
最好在本地測試��、修改模板然后上傳、注意備份��、一般的木馬如果模板里面找不到的話��,直接刪除服務器的plus��、include目錄再上傳本地的目錄一般都能解決問題,所以��,養成本地修改的好習慣��,本地一定要做備份��,去掉在服務器直接修改的習慣。
