虚位以待(AD)
虚位以待(AD)
首页 > CMS教程 > DedeCMS > Dedecms如何做好安全防范挂马

Dedecms如何做好安全防范挂马
类别:DedeCMS   作者:码皇   来源:互联网   点击:

Dedecms做为国内使用最为广泛使用人数最多的CMS之一,相信很多站长和我一样选择了它,它的优点我就不多说了。可是令很多站长头疼的是,用dedecms建的站经常被人莫名其妙的挂马,造成满页黑链、广告、弹框,令人气愤; ,魔客吧

Dedecms做为国内使用最为广泛使用人数最多的CMS之一,相信很多站长和我一样选择了它,它的优点我就不多说了。可是令很多站长头疼的是,用dedecms建的站经常被人莫名其妙的挂马,造成满页黑链、广告、弹框,令人气愤;更为可怕的是,还有可能被搜索引擎惩罚,辛辛苦苦建立的站,眼睁睁的看它权重下降,收录减少,甚至被K;更为严重的则服务器成为肉机,宝贵数据丢失。其实,对于dedecms挂马,我们完全可以防范于未然。今天,笔者就自己的体会从以下几点和广大dede爱好者们谈谈怎样防止dedecms被挂马,提高Dedecms的安全。

先来看看原因吧,为什么PHP程序经常出漏洞,其实是由PHP程序本身决定的。PHP可复用性低,导致程序结构错综复杂,到处是冗余代码,这样不仅利于漏洞的产生,还影响漏洞的修复;PHP程序入门简单且普遍开源,导致很多人都可直接阅读代码,搜寻漏洞;这样便有源源不断的漏洞被发现、被修复、被发现。而当前流行的PHP系统习惯用以文件形式做为缓存,这样就需要开放文件的写入权限,这无疑成为PHP系统的软肋。目前针对PHP系统的攻击方式,除了已经很少出现的“注入”攻击外,大部分攻击都是通过系统的某个漏洞,向可写文件里插入一句话木马,以此方式获得shell。

网站安全从来都是服务器配置、文件权限控制和网站程序三者的相互配合,“可执行的文件不允许被修改,可写文件不允许被访问”这是网站权限控制的根本原则,网站程序在“可写文件不允许被访问”方面可做许多工作。就拿Dedecms来说,我们可以在如下几个方面做好保护。

1、我们下载并安装了程序之后,首先就是要设置目录权限,这样即使木马突破服务器的限制,我们也让它找不到进一步破坏的地方。我们可以把data、templets、uploads设置为可读写,不可执行权限。把include、member、plus、后台管理目录 设置为可读,可执行,不可写入权限(安装了附加模块的,book、ask、company、group 目录同样如此设置)。

2、改名根目录下的data目录,或者移动到网站目录外面。data目录便是最藏污纳垢的地方,系统经常要往这个目录写数据,这个目录下的任何一个文件都可以通过URL访问到,所以要让浏览器访问不到里面的文件,就需要将此目录改名,或者移动到网站的目录外面去。这样,即使别人通过漏洞往文件里写入了一句话木马,他也找不到此木马所在的文件路径,无法继续展开攻击。因为Dedecms程序的设置,所以改名data目录操作比较复杂,具体做法可以参考:如何将织梦的data目录迁移到根目录以外

3、程序越大、漏洞就越多,我们就需要精简网站,一些不常用的dedecms功能,我们的网站用不到的功能就可以删除。

比如 dedecms的member文件夹是会员系统,用不到可以删除;

special是专题,用不到可以删除;需要可以在生成HTML后,删除。

company是企业功能模块,用不到可以删除;

plusguest/book 是留言板,用不到可以删除;

install是安装程序,install在程序安装完后删除它。(强烈建议删除或者改名)

dede是网站后台管理目录,请把dede改名,越复杂越安全,但是自己一定要记住,最好不要用网站名称之类容易猜到的。后台地址隐藏好,即使别人获得了你的管理员账号、密码,也无法登录。

所有PHP开源程序安全设置都有相通之处,要学会举一反三。不妨学习一下其它开源系统的网站安全设置经验。

4、FTP密码复杂化,如果你的FTP密码很简单,就很容易被黑客猜中。因此尽量将FTP密码设置的复杂一些,最好字母+数字组合,10位以上,让那些破解程序破解去吧(我们空间默认的FTP密码就是复杂随机密码,更改密码之后一定要牢记密码)。

5、网上流传的经典防黑客注入方法(DEDE防注入两方法)

一是将每个目录添加空的index.html,防止目录被访问;

二是给做好网站301页面、403页面、404页面可以禁止访问某页或某文件。

6、多关注官方平台,登录网站后台看看系统主页有没有升级更新的补丁提示,及时更新和升级补丁。友情提示:升级程序之前别忘记了重要数据的备份,包括图片、模板等。

7、最后一点,数据备份。其实即使我们做到了最严格的防范,也不能完全防止被挂马,正所谓道高一尺魔高一丈!所以你的网站数据一定要经常备份。这样就算是网站被黑,也能通过重装程序还原数据,将损失降低到最低,毕竟数据是站长们最宝贵的财富。


魔客吧温馨提示:在魔客吧有许多的精品 织梦模板 ,如果你有需要,那么赶快去下载吧!

分享到 更多 <script type="text/javascript" id="bdshell_js"></script><script type="text/javascript">document.getElementById("bdshell_js").src = "http://share.baidu.com/static/js/shell_v2.js?cdnversion=" + new Date().getHours();</script> 本文地址:http://www.moke8.com/article-21032-1.html
文章标题:Dedecms如何做好安全防范挂马 收藏邀请 最新分享资源 响应式医学科技企业网站dede模板

响应式医学科技企业网站dede模板

dedecms模板 by moke 响应式医疗美容整形企业dede模板

响应式医疗美容整形企业dede模板

dedecms模板 by moke 响应式工程机械挖土机设备织梦模板

响应式工程机械挖土机设备织梦模板

dedecms模板 by moke 响应式机械零部件类dedecms模板

响应式机械零部件类dedecms模板

dedecms模板 by moke

最新评论

相关分类

  • discuz教程
  • discuzx教程
  • phpwind教程
  • dedecms教程
  • phpcms教程
  • wordpress教程
  • ecshop教程
  • php168教程
  • shopex教程
  • 帝国cms教程

精品推荐

中英双语响应式电子企业织梦模板

精华 中英双语响应式电子企业织梦模板

dedecms模板 by moke

极品资源

高端建筑装饰带手机版十配色织梦模板

极品 高端建筑装饰带手机版十配色织梦模板

dedecms模板 by moke

原创模板

多配色创意metro风格企业

魔币 多配色创意metro风格企业

下载排行

  • 01响应式工程机械挖土机设备织
  • 02响应式医疗美容整形企业dede
  • 03响应式医学科技企业网站dede

资源分类

企业网站模板 企业网站源码 个人网站模板 个人网页模板 手机wap网站 门户网站模板 商业源码 淘宝客程序 html5网站 网站后台模板 html网页模板 学校网站模板 <script type="text/javascript">var cookieLogin = Ajax("TEXT");cookieLogin.get("connect.php?mod=check&op=cookie", function() {});</script><script type="text/javascript">_attachEvent(window, 'load', getForbiddenFormula, document);function getForbiddenFormula() {var toGetForbiddenFormulaFIds = function () {ajaxget('plugin.php?id=cloudsearch&formhash=4315fe89');};var a = document.body.getElementsByTagName('a');for(var i = 0;i < a.length;i++){if(a[i].getAttribute('sc')) {a[i].setAttribute('mid', hash(a[i].href));a[i].onmousedown = function() {toGetForbiddenFormulaFIds();};}}var btn = document.body.getElementsByTagName('button');for(var i = 0;i < btn.length;i++){if(btn[i].getAttribute('sc')) {btn[i].setAttribute('mid', hash(btn[i].id));btn[i].onmousedown = function() {toGetForbiddenFormulaFIds();};}}}</script>

联系我们 | 关于我们 | 招商加盟 | 版权声明 | 帮助中心 | 广告服务 | 网站地图

欢迎浏览魔客吧提供的 Dedecms如何做好安全防范挂马 信息,若本站中的信息侵犯了您的权益,请与本站管理员联系

Copyright @ 2010-2015 魔客吧 版权所有 蜀ICP备09014119号 川公网安备51050202000165号  <script type="text/javascript" src="http://tcss.qq.com/ping.js?v=1VERHASH" charset="utf-8"></script><script type="text/javascript" reload="1">pgvMain({"discuzParams":{"r2":"5238379","ui":0,"rt":"portal","pn":1,"qq":"000"},"extraParams":""});</script>

积分 0, 距离下一级还需 积分 <script type="text/javascript">_attachEvent(window, 'scroll', function(){showTopLink();});</script><script>(function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https'){ bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else{ bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s);})();</script> <script type="text/javascript"> var tipsinfo = '5238379|X2.5|0.6||0||0|7|1508380821|62480a338e8a25d3cfa3d78d7086cfc7|2'; </script> <script src="http://discuz.gtimg.cn/cloud/scripts/discuz_tips.js?v=1" type="text/javascript" charset="UTF-8"></script><script type="text/javascript" src="//idm-su.baidu.com/su.js"></script>
相关热词搜索: Dedecms如何做好安全防范挂马
上一篇:防止DedeCMS错误警告日志data/mysql_error_trace.inc暴露后台
下一篇:dedecms在linux下目录权限设置
关于我们|联系我们|版权声明|友情链接|广告服务
Copyright © 2020 人工智能实验室 版权所有.