DedeCMS织梦

如何有效防止 DedeCMS 系统被挂马

也想出现在这里?联系我们
面包多

dedecms 是一个非常好的 CMS 程序,现在最新版本是 5.7。经过很多版本的升级和功能添加,DedeCMS 仍然存在很多问题。这里不是说 DedeCMS 不好,相对来说还是很好的,简单容易用,造福了许许多多中小站长。今天我们一起探讨一下 DedeCMS 的安全设置。用 DedeCMS 的朋友一定有遇到过网站被挂马的情况,不是每个页面中被添加很多链接就是 js 中被加入恶意转向。

1. 尽可能的使用 Linux 主机纯 PHP 空间,Windows 主机能运行 ASP 就多一份危险。

也想出现在这里?联系我们
创客主机

2. 安装 DedeCMS 的时候数据库的表前缀最好改一下,不要用 DedeCMS 默认的前缀 dede_,可以改成 lsd_,随便一个无规律的、难猜到的前缀即可。

3. 后台登录一定要开启验证码功能,将默认管理员 admin 账号删除或者改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少 8 位,而且字母与数字混合。

4. 装好程序后务必删除 install 目录!

5. 将 DedeCMS 后台管理默认目录名 dede 改掉,随便改个不好猜的没规律的。

6. 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。能不用会员系统最好不要用,可以直接删除 member 会员目录,后台关闭会员功能。实在要用一定要将“是否允许会员上传非图片附件”设置为否,对用户进行严格限制,因为有很多垃圾注册机一天注册很多用户名。推荐直接删除 member 会员目录,不用会员系统。以下一些是可以删除的目录/功能(如果你用不到的话):

  • member 会员功能
  • special 专题功能
  • company 企业模块
  • plus/guestbook 留言板

7. 针对 uploads、data、templets 三个目录做执行 php 脚本限制。就算被上传了木马文件到这些文件夹,也是无法运行的,所以这一步很重要一定要设置。创客云主机用户可以直接将下面的代码复制到网站根目录下的.htaccess 文件中即可。

  1.     RewriteEngine on
  2.     RewriteCond % !^$
  3.     RewriteRule uploads/(.*).(php)$ – [F]
  4.     RewriteRule data/(.*).(php)$ – [F]
  5.     RewriteRule templets/(.*).(php)$ – [F]

如果你需要限制其他目录,也可以直接修改或添加规则。

8. 不安装来路不明的模板,或者其他需要上传到网站目录下的文件,要安装先杀毒再安装。

9. 用最新版本的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

10. 大多数被上传的脚本集中在 plus、data、data/cache 三个目录下,如果遇到被挂马的情况请仔细检查三个目录下最近是否有被上传文件。

迄今为止,我们发现的恶意脚本文件有:

  • plus/ac.php
  • plus/config_s.php
  • plus/config_bak.php
  • plus/diy.php
  • plus/ii.php
  • plus/lndex.php
  • data/cache/t.php
  • data/cache/x.php
  • data/config.php
  • data/cache/config_user.php
  • data/config_func.php 等等

建议使用 DedeCMS 的用户都花一些时间做好这些设置,一般就够用了。对于其他程序,也可以参考这个设置,但不同程序的文件/目录路径会存在区别,可以自行判断,同时我们建议定期备份自己的重要数据。

服务范围 1、专业提供WordPress主题、插件汉化、优化、PHP环境配置等服务请详询在线客服
2、本站承接 WordPress、DedeCMS、ThinkPHP 等系统建站、仿站、开发、定制等服务
3、英文模板(主题)安装费用为120元/次,汉化主题首次免费安装(二次安装30元/次)
售后时间 周一至周五(法定节假日除外) 10:00-22:00
免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 2107117185@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!
(0)

本文由来源 里维斯社,由 PetitQ 整理编辑!

也想出现在这里?联系我们
创客主机

热评文章

发表评论

精彩推荐

Supro - 极简电商网站模板WordPress汉化主题

Envato Affiliates

本站承接 WordPress / DedeCMS / ThinkPHP 等
系统建站、仿站、开发、定制等业务!

Hi, 如果您有主题插件代购(30-600元)汉化等建站相关业务,可以 跟我联系 哦!
欢迎投稿
嘿,欢迎咨询!