織夢(mèng)CMS在安裝完成后�,新人往往會(huì)直接開始開發(fā)使用�����,忽視了一些安全優(yōu)化的操作����,這樣會(huì)導(dǎo)致后期整個(gè)系統(tǒng)安全系數(shù)降低,被黑或者被注入的概率極高��,畢竟這世界百分百存在著極多的無聊hacker對(duì)全網(wǎng)的網(wǎng)站進(jìn)行掃描���,掃到你這個(gè)菜站,尤其是使用率極高的DEDECMS���,對(duì)你的站點(diǎn)下手的欲望更高����,所以在開發(fā)前做好安全防范還是很有必要的���!
安全設(shè)置前:備份網(wǎng)站文件及數(shù)據(jù)庫
系統(tǒng)安全優(yōu)化設(shè)置之前���,做好備份工作。網(wǎng)站備份是網(wǎng)站維護(hù)必須必學(xué)基礎(chǔ)���,參考教程<<DEDECMS織夢(mèng)網(wǎng)站備份教程>>
安全設(shè)置一:刪文件
安裝完成后會(huì)有一些文件�,可以說是冗余文件����,完全沒有作用����,反而帶來被黑的危險(xiǎn),刪除即可���,以下目錄文件均可刪除:
| 目錄 | 刪除原因 |
|---|
| /install | 安裝后的余留文件��,沒用�����,整個(gè)文件夾刪除 |
| /member | 會(huì)員功能文件,大數(shù)企業(yè)站沒用�,文件夾刪除����,若需要會(huì)員功能的就不能刪 |
| /special | 專題功能,如果你不需要這個(gè)功能���,文件夾刪除�����,需要就別刪���,大部分是不需要的 |
| /tags.php | TAG標(biāo)簽�����,沒有此功能可刪除 |
| 網(wǎng)站后臺(tái)目錄dede要?jiǎng)h除的文件 | 刪除原因 |
|---|
| /dede/tpl.php | 文件上傳管理系統(tǒng)文件,易被掛馬�����,強(qiáng)烈建議刪除或者不用時(shí)請(qǐng)改名(tpl備用.php) |
| /dede/templets_*.php | 模板管理功能�����,老手建議刪除����,使用FTP管理 |
| /dede/media_*.php | 附件數(shù)據(jù)管理功能文件���,易被掛馬,刪除(用你的FTP管理文件就可以了��,別用這個(gè)) |
| /dede/file_*.php | 文件式管理器功能控制器文件���,易被掛馬,刪除(用你的FTP管理文件就可以了��,別用這個(gè)) |
| /dede/mytag_*.php、mytag_tag_*.php | 自定義標(biāo)記管理���,易被上傳一句話木馬 |
| /dede/story_*.php | 小說功能��,可刪除 |
| /dede/erraddsave.php | 糾錯(cuò)功能����,可刪除 |
| /dede/feedback_*.php | 評(píng)論管理�����,可刪除 |
| /dede/group_*.php | 圈子功能�,很少用到����,可刪除 |
| /dede/co_*.php | 采集控制文件�,可刪除 |
| /dede/cards_*.php | 點(diǎn)卡功能功能,可刪除 |
| /dede/ad_*.php | 廣告管理添加/刪除文件��,企業(yè)站一般不用可刪除 |
| /dede/spec_*.php | 專題管理���,沒有專題頁面,可刪除 |
| /dede/vote_*.php | 投票功能�,可刪除 |
| /dede/sys_sql_query.php | SQL命令運(yùn)行器���,不需要的話可以改名為(sys_sql_query安全禁用.php)也可以刪除 |
| 目錄/plus要?jiǎng)h除的文件 | 刪除原因(正常的企業(yè)站可以只保留list.php�����、view.php�、count.php、search.php����、diy.php(企業(yè)站經(jīng)常用到的表單)五個(gè)文件以及img文件夾�,其他全部刪除) |
|---|
| /plus/guestbook | 留言簿模塊,整體刪除��,容易SQL注入及垃圾留言�����, |
| /plus/task和task.php | 計(jì)劃任務(wù)控制文件�����,文件夾和文件都刪除 |
| /plus/bookfeedback.php、bookfeedback_js.php | 圖書評(píng)論和評(píng)論調(diào)用文件�����,存在注入漏洞����,不安全 |
| /plus/bshare.php | 分享插件 |
| /plus/ad_js.php | 廣告插件���,新聞資訊站用到的��,請(qǐng)勿刪除 |
| /plus/car.php、posttocar.php�����、carbuyaction.php | 購(gòu)物車 |
| /plus/comments_frame.php | 調(diào)用評(píng)論�,存在安全漏洞 |
| /plus/digg_ajax.php���、digg_frame.php | 頂踩 |
| /plus/download.php���、disdls.php | 下載和次數(shù)統(tǒng)計(jì) |
| /plus/erraddsave.php | 糾錯(cuò) |
| /plus/feedback.php、feedback_ajax.php���、feedback_js.php | 評(píng)論 |
| /plus/stow.php | 內(nèi)容收藏 |
| /plus/vote.php | 投票 |
安全設(shè)置二:后臺(tái)目錄及賬號(hào)密碼修改
①網(wǎng)站后臺(tái)文件改名:默認(rèn)后臺(tái)目錄是/dede,需要將這個(gè)文件夾的名稱修改����,比如改為WangZhan123@+,那么后臺(tái)登陸地址就由www.xxx.com/dede變?yōu)閣ww.xxx.com/WangZhan123@+����,(不定期更改一下)
②后臺(tái)登錄密碼請(qǐng)勿使用admin,參考修改教程<<織夢(mèng)修改管理員賬號(hào)admin方法大全>>
安全設(shè)置三:目錄權(quán)限設(shè)置
①/data���、/templets���、/plus、/include����、/dede 這幾個(gè)目錄去掉寫的權(quán)限
②網(wǎng)站根目錄設(shè)置為755權(quán)限(即www權(quán)限),這樣子根目錄下的所有文件夾均為755權(quán)限
③老版本若登錄后臺(tái)提示驗(yàn)證碼錯(cuò)誤�,選中/data目錄,將權(quán)限設(shè)置為完全控制(可讀可寫)權(quán)限
安全設(shè)置四:主機(jī)安全防護(hù)
可下載第三方防護(hù)插件�����,例如:360出品的"織夢(mèng)CMS安全包" ����、百度旗下安全聯(lián)盟出品的"DedeCMS頑固木馬后門專殺"、服務(wù)器安全狗�����、啟用HTTPS證書配置����;
安全設(shè)置五:利用偽靜態(tài)功能禁止以下目錄運(yùn)行php腳本
① linux主機(jī)的用戶一般都是apache環(huán)境,使用 .htaccess 文件來設(shè)置�,如果你網(wǎng)站根目錄已經(jīng)存在這個(gè)文件,那就復(fù)制一下代碼添加進(jìn)去����。
