注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

艾艾贴总代

艾艾贴,是30:1的五年黄金艾绒,效果是传统艾灸3~5倍!

 
 
 

日志

 
 

织梦cms安全性设置常识【加强版】  

2013-12-27 10:39:04|  分类: 【网站安全】 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
   用过织梦cms的朋友了,这里就不多说了,织梦cms相对来说还是比较简单易用的。至于织梦cms的安全性如何,是否存在漏洞,这个问题来讲是不可避免的。当然了,这里也不是说织梦cms不好,再强大的开源系统,存在漏洞也是可能的。关键问题是,存在漏洞,我们如何解决,在织梦的安全性问题上,我们又该如何是好,找到解决办法才是根本。
    在此,针对织梦cms安全性问题上,再补充一些,希望对用织梦建站的站长朋友们一些帮助。
    织梦cms安全性设置【加强版】
    1、安装dedecms时,数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。
    2、织梦cms后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
    3、装好程序后务必删除install目录!!!
    4、将dedecms后台管理默认目录名dede改掉,改复杂一点的目录。
    5、用不到的功能一概关闭,比如会员、评论等功能,如果没有必要通通在后台关闭。
    6、以下一些是可以删除的目录/功能(如果你用不到的话):member(会员功能)、special(专题功能)、company(企业模块)、plus\guestbook(留言板)。
    迄今为止,我们发现的恶意脚本文件有:plus/ac.php、plus/config_s.php、plus/config_bak.php、 plus/diy.php、plus/ii.php、plus/lndex.php、data/cache/t.php、data/cache /x.php、data/config.php、data/cache/config_user.php、data/config_func.php等 等;
    大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。
    7、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险。
    8、后台登录管理不要用admin为用户名 可以改成其他的。
    9、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。
    10、针对uploads、data、templets 三个目录做执行php脚本限制。
    11、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。
    12、用最新版的织梦cms程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。
    13、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。
    虚拟主机/空间配置目录执行php脚本限制方法: Apache环境和nginx环境的两种设置方法
    对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的。所以这一步很重要,一定要设置。
    在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
    1、Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中
    RewriteEngine on RewriteCond % !^$
    RewriteRule uploads/(.*).(php)$ – [F]
    RewriteRule data/(.*).(php)$ – [F]
    RewriteRule templets/(.*).(php)$ – [F]
    2、nginx环境规则内容如下:nginx执行php脚本限制
    LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而 给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。首先要编辑nginx的虚拟主机配 置,在fastcgi的location语句的前面按下面的内容添加:
    location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
    deny all;
    }
    这些针对织梦cms系统安全问题做出的一些举措,也差不多够用了,用织梦cms的朋友多费点心,毕竟建立一个网站也不容易,要想运营好更不容易,谁也不想自己的网站受到危险,那就从基本做起,做好网站的安全设置,避免不必要的麻烦。
  评论这张
 
阅读(451)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018