CMS插件分享网

影子是一个会撒谎的精灵,它在虚空中流浪和等待被发现之间;在存在与不存在之间....

位置:主页 > 织梦二次开发 >

将织梦dedecms的安全做到极致的方法

发布时间:2019-09-11 15:29作者:√無∑情—浏览(68)

    一、安全删除篇:

    织梦的功能模块是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步。可以删除的模块如下,请各位朋友按照需求删除。尤其是plus目录的一些文件,未用到的尽量删除,因为织梦历史上漏洞基本上是这个目录的文件。

    member目录:会员功能,一般用不到

    special目录:专题功能 ,很少有人用

    install目录:安装程序,安装完成后必须删除

    tags.php文件:根目录tags标签文件

    对于plus目录,个人认为只留下面这些文件即可:

    plus/ad_js.php 广告模块,如果用到广告请保留。

    plus/count.php 内容页点击统计模块,有调用点击率的请保留

    plus/diy.php 自定义表单,用到自定义表单请保留

    plus/list.php 列表页模块,必须保留

    plus/view.php 内容页模块,必须保留

    对于织梦后台而言,尽量删除以下文件:

    file_manage_control.php, file_manage_main.php, file_manage_view.php

    media_add.php,media_edit.php,media_main.php

    另外将后台不用的模块尽量卸载并删除:
    将织梦dedecms的安全做到极致的方法
     

    一、安全权限篇:

    1.将data、templets、uploads、html、images目录设置为不允许执行脚本。这个一般空间商都有提供设置,如果是独立服务器那么设置更容易。

    2.如果有其他非织梦文档生成目录,请尽量设置为禁止写入。

    3.data下的common.inc.php文件请设置为只读模式。

    4.data目录下的mysql_error_trace.inc 这个文件是记录错误的,也很容易暴露后台地址,建议将此文件清空并设置为只读模式。当然您也可以参考网上方法将它改为其他名字。

    三、安全设置篇:

    1. 首先后台地址,管理员用户名和密码不要使用默认的。很多新手为了图方便就用默认的,用默认的你的网站不被黑才奇怪了。建议将后台地址改为比较复杂的,用户名和密码都改为较长的,最好加一些特殊符号。

    2. 将data目录迁移出网站根目录。这个可参考官方设置,有条件的朋友操作下会更安全。

    3. 在模板文件中尽量不要使用{dede:global.cfg_templets_skin/},也不要将images和css文件放到模板目录中去读取,这样可以暴露你的模板目录,轻而易举将您的模板文件拷贝出去。

    4. 如果您有用到ftp,尽量在不使用的时候关闭,或者将您的ftp设置强大点,弱的密码很容易被猜到。

    5. 很多空间商提供phpmyadmin管理,在这里提醒各位朋友,请勿将phpmyadmin放到网站根目录。

      另外数据库的用户名和密码也设置强大点,不要用root,root

    四、安全其他篇:

    1.请及时关注官方的漏洞补丁,常规补丁不要急于打。因为可能涉及到其他问题,紧急性的补丁请及时做好升级。但是升级前做好备份。

    2.如果您的网站用的是空间,请保证空间商技术足够过硬,很多网站放在一个服务器上,还可以旁注,那你怎么设置都是无用。如果您用的是独立服务器,可以在上面装一些防护软件,这些软件至少能帮你抵挡很大一部分想黑你站的人。

    3.请不要使用一些加密的插件,这些插件很大一部分存在后门。一不小心就中招了。

    4.选择空间商尽量选择比较大的空间商。域名和空间或者服务器最好在一个平台,并做好账户安全设置。
     

    一、网站站外安全防护,主要是域名和空间(服务器)的安全

    1、域名。域名是网站的入口之一,也是网站被黑的一个切入口,如果域名出了问题,网站就不能打开了。那么怎么保证域名的安全呢?

    (1)选择正规靠谱的注册商

    (2)域名注册的信息务必如实填写

    (3)尽量使用域名商提供的正规DNS解析,慎用免费DNS解析

    2、空间服务器安全措施

    (1)安全组合:安全狗(服务器及网站防护)+百度云加速(WEB常规防护和访问加速)+百度云观测(网站安全预警和日常监测)

    (2)使用云防护工具:建议选择百度云加速

    (3)通过ftp来上传、维护网页,尽量不安装asp的上传程序

    (4)日常要多维护,并注意空间中是否有来历不明的文件

     

    二、网站站内安全防护

    1、修改织梦默认的后台目录文件夹(dede)的名称,可以修改为其他的字母或字母与数字色组合(比如chaoyongseo),修改后网站后台的登陆地址为:域名/chaoyongseo

    2、如果网站用不到会员等功能的话的话,建议删除member、install、special文件夹

    3、data/common.inc.php数据库连接文件 禁止写入与执行,只允许读取模板

    4、将/data/文件夹移到Web访问目录外,这条是dedecms官方建议,具体操作方法如下:

    (1) 将/data/文件夹移至web根目录的上一级目录

    (2)修改/include/common.inc.php中DEDEDATA变量,将:define('DEDEDATA',DEDEROOT.'/data'); 改为define('DEDEDATA',DEDEROOT.'/../data');

    (3)修改/index.php,删除如下代码(注:如首页生成静态且index.html索引优先于index.php可忽略此条修改。):
     

    if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
    {
    header('Location:install/index.php');
    exit();
    }

    (4)配置tplcache缓存文件目录:登陆后台 > 系统 > 系统基本参数> 性能选项,将模板缓存目录值改为/../data/tplcache

    5、include和plus 文件夹禁止写入

    /plus/是dedecms漏洞高发目录,隐藏/plus/路径可防范该目录下文件产生的未知漏洞的利用,如需使用该目录下某个文件,可在.htaccess中添加相关规则实现白名单功能。

    示例:假设plus目录名修改为/chaoyong/,网站需要使用后台栏目动态预览(路径:http://域名/plus/list.php?tid=栏目编号)和发布跳转文章(路径:http://域名/plus/view.php?aid=文章编号)的功能,则可在.htaccess添加如下代码:

    RewriteEngine On
    RewriteCond%{QUERY_STRING} ^tid=(d+)
    RewriteRule^plus/list.php$ /chaoyong/list.php$1 [L]
    RewriteCond%{QUERY_STRING} ^aid=(d+)
    RewriteRule^plus/view.php$ /chaoyong/view.php$1 [L]

    6、注意网站备份,包括网站文件的备份和数据库的备份。

    网站文件的备份可以到空间服务器管理后台,使用文件压缩功能,把网站整站压缩了,然后通过FTP工具下载下来;

    数据库备份需要登录网站管理后台,打开“系统-数据库备份/还原”,点击“提交”即可。