织梦DedeCms的安全问题如何优化
如何优化梦想编织DedeCms的安全性?
很多新手用户在使用织梦CMS程序的过程中难免会遇到挂马中毒的现象,所以要提前做好网站和服务器的备份防范工作。
推荐学习:梦想编织cms
作为国内最大的开源CMS程序,梦想编织无疑是众多HACK研究的对象。在不安全的互联网环境中更容易被招募。DEDE官员已经停止升级这个系统很久了。安全不仅仅是程序本身,还要求我们做好日常备份和服务器安全防范。
好了,事不宜迟,下面是一些常见的治疗方案:
步骤1:安装Dreamweaver CMS后,记得删除安装文件夹。
第二步:后台登录,必须开启验证码功能(或者自己写一个安全机制),删除默认的管理员admin,改成特殊复杂的账号。管理员密码必须很长,至少8位数字,字母和数字混合。
第三步:更改dedecms后台管理的默认目录名dede,随便改成一个很难猜的不规则的(不规则改)。
第四步:关闭(或剔除/删除)所有不用的功能,如会员、评论等,如无必要在后台关闭。
会员功能关闭:后台–系统–系统基本参数–会员设置–是否开启会员功能(是)。
会员验证码启用:后台–系统–系统基础参数–交互设置–会员提交是否使用验证码(是)。
会员验证码启用:后台–系统–系统基础参数–交互设置–是否禁止所有评论(是)。
步骤五: (1)以下是可以删除的目录/功能(如果不能用的话):
会员会员功能[会员目录,一般企业站不需要]
特色[特征]
Tags.php标签
一个文件夹
(2)管理目录下的下列文件可以删除:
管理目录中的这些文件是后台文件管理器,是冗余功能,最影响安全性。许多黑客把马挂在上面。
dede/file _ manage _ control . PHP[电子邮件]
dede/file _ manage _ main . PHP[电子邮件]
dede/file _ manage _ view . PHP[电子邮件]
dede/media _ add . PHP[视频控制文件]
dede/media _ edit . PHP[视频控制文件]
dede/media _ main . PHP[视频控制文件]
Dede/spec_add.php,spec _ edit . PHP[项目管理]
Dede/file_xx。php系列文件和tpl.php[文件管理器,极大的安全隐患]。
(3)加上下列文件可以删除:
删除:plus/留言簿文件夹【留言板,我们稍后会安装更合适的留言板插件】;
删除:plus/task文件夹和task.php[计划任务控制文件]。
删除:plus/ad _ js . PHP[广告]
删除:plus/bookfeedback.php和bookfeedback_js.php【书评和评论调用文件,有注入漏洞,不安全】。
delete:plus/b Share . PHP[共享到插件]
删除:plus/car.php,posttocar.php和carbuyaction.php[购物车]
delete:plus/comments _ frame . PHP[调用注释,存在安全漏洞]
Delete: plus/digg_ajax.php和digg_frame.php [top stepping]
删除:plus/download.php和disdls.php【下载和频率统计】。
delete:plus/erraddsave . PHP[错误更正]
删除:plus/feedback.php,feedback_ajax.php,feedback _ js . PHP[评论]
delete:plus/guest book . PHP[Message]
delete:plus/stow . PHP[内容集合]
delete:plus/vote . PHP[投票]
此外,删除没有sql命令运行器的dede/sys_sql_query.php文件。
第一步+:多关注dedecms官方发布的安全补丁,及时打补丁。
第七步:下载发布功能(管理目录下的soft__xxx_xxx.php)。如果不用,可以删除。这样也更容易上传到Pony。
第八步:可以下载第三方防护插件,如:360出品的“造梦CMS安全包”,百度安全联盟出品的“DedeCMS顽固木马后门查杀”;
第九步:(可选)最安全的方法:本地发布html,上传到空间。不包含任何动态内容文件,理论上是最安全的,但是维护起来相对麻烦。
补充:还是要经常查看自己的网站。被挂黑链是小事,被挂木马或者删程序是很惨的,运气不好排名也跟着。所以记得经常备份你的数据!!!
延伸阅读:织梦网站数据备份步骤示意图
到目前为止,我们发现的恶意脚本文件有
plus/90sec.php
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
数据/配置. php
数据/缓存/配置_用户. php
登录后复制Data/config_func.php。
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.qnziyw.cn",如遇到无法解压的请联系管理员!
青柠资源网 » 织梦DedeCms的安全问题如何优化
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍
- 提示下载完但解压或打开不了?
- 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或 联络我们。
- 找不到素材资源介绍文章里的示例图片?
- 对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单
