织梦安全设置防止挂马
发布:smiling 来源: PHP粉丝网 添加日期:2014-11-05 20:26:29 浏览: 评论:0
在快速建站系统中,织梦cms是首选,织梦cms依它简单,方便,技术门槛低易于上手而为大家普遍推崇,但是他也有自己的缺陷,安全性差,程序时常曝出漏洞,网站容易被攻击挂马,虽然我们不能从根本上解决这个问题,但是可以尽可能的再织梦的基础上操作,提高程序的安全性,下面我们就来一起看下如何进行织梦安全设置.
1、用户名,密码复杂性,即使hack拿到密码也不容易逆转破解,后台目录务必重命名,越复杂最好,关注官方网站,跟相应的杀毒软件,定时修补补丁,定时查杀多余php文件.
2、后台设置,删除多余会员,关闭会员功能,系统基本参数-会员设置,互动设置等限制;
3、精简设置,不需要的功能都删掉,每个目录下加一个空的index.html,防止目录被访问,可删除的功能,member,special,install(必删),company(企业模块),plus\guesbook留言板等一般用不上的功能;
4、可以删除不必要但容易受攻击的文件(再文件夹下搜索即可):file_manage_control.php,file_manage_main.php,file_manage_view.php,media_add.php,media_edit.php,media_main.php,download.php(没有下载功能),feedback.php(评论功能)这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的,它简直就是小型挂马器,上传编辑木马忒方便了,一般用不上统统删除).
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除,避免HACK利用.
不需要tag功能请将根目录下的tag.php删除,不需要顶客请将根目录下的digg.php与diggindex.php删除.
5、为了防止HACK利用发布文档,上传木马,请安装完成后阻止上传PHP代码,到此基本堵上了所有上传与编辑木马的可能性,在5.0以上的版本本身已经作好修改了,这点经测试比较过的.
6、织梦权限设置,
1>include,plus,member等附加组件,可读取 不可写入 执行脚本(纯脚本)
data、templets、uploads,images 可读写 不可执行(执行权限无)
2>设置iis权限,去掉user权限,自己设置一个权限,目录设置、不允许执行脚本.
7、织梦关闭自定义表单前台预览,删除友情链接申请功能,网站提交登陆一定要有验证码,防止hack暴力破解,提交.
8、也可以使用第三方安全插件:如360网站卫士,DedeCms万能安全防护代码等.
注意事项:
服务器篇:安装安全软件,木马查杀软件定期查杀.
数据库安全:定期备份数据库与程序模板,出现问题即使恢复,数据库一个网站一个用户名密码,互补影响.
空间注意篇:有些人使用的空间,请把空间的CP与FTP密码妥善保存,并且密码一定要复杂,如果自己的服务器就要靠自己了.
Tags: 织梦安全设置 dedecms防止挂马
相关文章
- ·织梦(DedeCMS)该如何安全设置(2014-11-01)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)