织梦DedeCms防黑安全攻略设置指南
网上收集到的织梦DedeCms防黑安全攻略设置指南,有需要的朋友可以参考下,尽量防止网站被黑。
第一、安装Dede的时候数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。
第二、后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
第三、装好程序后务必删除install目录!!!
第四、将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录/功能(如果你用不到的话):
member会员功能
special专题功能
company企业模块
plus/guestbook留言板
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
soft_add.php soft_config.php soft_edit.php
第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
十.data目录路径更改
另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:
2.1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;
2.2.配置include/common.inc.php中DEDEDATA文件
复制代码
define(‘DEDEDATA’, DEDEROOT.’/data’);
可以改成类如:
复制代码
define(‘DEDEDATA’, DEDEROOT.’/../data’);
2.2.3.后台设置模板缓存路径
首页 index.php 修改一下
十一 、针对uploads、data、templets 三个目录做执行php脚本限制。
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容文件,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂heilian是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据!!!
迄今为止,我们发现的恶意脚本文件有
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php等等
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。
归根结底,安全是一种意识,再安全的网站也都可能被攻破,只有把安全意识扎根在心里,才能让网站固若磐石。
虚拟主机/空间配置目录执行php脚本限制方法:Apache环境和nginx环境的两种设置方法
对uploads、data、templets三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置。
在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中
|
1
2 3 4 |
RewriteEngine
on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ C [F] RewriteRule data/(.*).(php)$ C [F] RewriteRule templets/(.*).(php)$ C[F] |
nginx环境规则内容如下:nginx执行php脚本限制
LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。
首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:
|
1
2 3 |
location
~ /(data|uploads|templets)/.*/.(php|php5)?$ { deny all; } |
补充:
方法/步骤
②这里除了“友情链接”模块其他都可以删掉。在后台可以先卸载再删除。
③如果是一开始就不想要的话,安装版plus目录下进行如下操作。
删除:guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;
删除:task文件夹和task.php【计划任务控制文件】
删除:ad_js.php【广告】
删除:bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】
删除:bshare.php【分享到插件】
删除:car.php、posttocar.php和carbuyaction.php【购物车】
删除:comments_frame.php【调用评论,存在安全漏洞】
删除:digg_ajax.php和digg_frame.php【顶踩】
删除:download.php和disdls.php【下载和次数统计】
删除:erraddsave.php【纠错】
删除:feedback.php、feedback_ajax.php、feedback_js.php【评论】
删除:guestbook.php【留言】
删除:stow.php【内容收藏】
删除:vote.php【投票】
删除member目录【会员目录,一般企业站不需要】
删除:special【专题功能】
删除:company【企业模块】
④安全上的设置dede目录下需要删除的文件及原因。
删除:以file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】
删除:soft_add.php、soft_config.php、soft_edit.php【软件下载类,存在安全隐患】
删除:mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.php【邮件发送】
删除:media_add.php、media_edit.php、media_main.php【视频控制文件】
删除:以story_xxx.php开头的系列文件【小说功能】
删除:ad_add.php、ad_edit.php、ad_main.php【广告添加部分】
删除:cards_make.php、cards_manage.php、cards_type.php【点卡管理功能文件】
删除:以co_xx .php开通的文件【采集控制文件】
删除:erraddsave.php【纠错管理】
删除:feedback_edit.php、feedback_main.php【评论管理】
删除:以group_xx .php开头的系列php文件【圈子功能】
删除:plus_bshare.php【分享到管理】
删除:以shops_xx .php开头的系列文件【商城系统】
删除:spec_add.php、spec_edit.php【专题管理】
删除:以templets_xx .php开头的系列文件【模板管理】
删除:vote_add.php、vote_edit.php、vote_getcode.php【投票模块】
⑤主要影响安全的文件已经删除,请根据您的需要进行操作。如果想更一步精简,可以删除掉/dede/templets/下与⑥中对应的文件模板。