最新公告
  • 欢迎您光临51分享吧,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 如何有效防止 DedeCMS 系统被挂马?

    DedeCMS 是一个非常好的 CMS 程序,现在最新版本是 5.7。经过很多版本的升级和功能添加,DedeCMS 仍然存在很多问题。这里不是说 DedeCMS 不好,相对来说还是很好的,简单容易用,造福了许许多多中小站长。今天我们一起探讨一下 DedeCMS 的安全设置。用 DedeCMS 的朋友一定有遇到过网站被挂马的情况,不是每个页面中被添加很多链接就是 js 中被加入恶意转向。

    如何有效防止 DedeCMS 系统被挂马? 建站经验 第1张

    有效防止 DedeCMS 系统被挂马的安全设置
    1. 尽可能的使用 Linux 主机纯 PHP 空间,Windows 主机能运行 ASP 就多一份危险。

    2. 安装 DedeCMS 的时候数据库的表前缀最好改一下,不要用 DedeCMS 默认的前缀 dede_,可以改成 lsd_,随便一个无规律的、难猜到的前缀即可。

    3. 后台登录一定要开启验证码功能,将默认管理员 admin 账号删除或者改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少 8 位,而且字母与数字混合。

    4. 装好程序后务必删除 install 目录!

    5. 将 DedeCMS 后台管理默认目录名 dede 改掉,随便改个不好猜的没规律的。

    6. 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。能不用会员系统最好不要用,可以直接删除 member 会员目录,后台关闭会员功能。实在要用一定要将“是否允许会员上传非图片附件”设置为否,对用户进行严格限制,因为有很多垃圾注册机一天注册很多用户名。推荐直接删除 member 会员目录,不用会员系统。

    以下一些是可以删除的目录/功能(如果你用不到的话):

    member 会员功能
    special 专题功能
    company 企业模块
    plus/guestbook 留言板
    7. 针对 uploads、data、templets 三个目录做执行 php 脚本限制。就算被上传了木马文件到这些文件夹,也是无法运行的,所以这一步很重要一定要设置。

    老薛主机用户可以直接将下面的代码复制到网站根目录下的.htaccess 文件中即可。

    RewriteEngine on  RewriteCond % !^$  RewriteRule uploads/(.*).(php)$ – [F]  RewriteRule dlaoji.orgata/(.*).(php)$ – [F]  RewriteRule templets/(.*).(php)$ – [F]  

    如果你需要限制其他目录,也可以直接修改或添加规则。如果网站根目录下找不到这个文件,可以参考『老薛主机如何创建.htaccess 文件?』这个教程创建。
    8. 不安装来路不明的模板,或者其他需要上传到网站目录下的文件,要安装先杀毒再安装。

    9. 用最新版本的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

    10. 大多数被上传的脚本集中在 plus、data、data/cache 三个目录下,如果遇到被挂马的情况请仔细检查三个目录下最近是否有被上传文件。

    迄今为止,我们发现的恶意脚本文件有:

    plus/ac.php
    plus/config_s.php
    plus/config_bak.php
    plus/diy.php
    plus/ii.php
    plus/lndex.php
    data/cache/t.php
    data/cache/x.php
    data/config.php
    data/cache/config_user.php
    data/config_func.php 等等
    建议使用 DedeCMS 的用户都花一些时间做好这些设置,一般就够用了。对于其他程序,也可以参考这个设置,但不同程序的文件/目录路径会存在区别,可以自行判断,同时我们建议定期备份自己的重要数据。


    本站大部分下载资源收集于网络,只做学习和交流使用,版权归原作者所有,若为付费资源,请在下载后24小时之内自觉删除,若作商业用途,请到原网站购买,由于未及时购买和付费发生的侵权行为,与本站无关。本站发布的内容若侵犯到您的权益,请联系本站删除,我们将及时处理!
    51分享吧 » 如何有效防止 DedeCMS 系统被挂马?

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    站壳网
    一个高级程序员模板开发平台
    • 195会员总数(位)
    • 2014资源总数(个)
    • 0本周发布(个)
    • 0 今日发布(个)
    • 484稳定运行(天)

    51分享吧 51DZSC.COM

    开通VIP 超级项目