对于织梦dedecms安全设置汇总/删除不需要的文件感兴趣的读者,本文将会是一篇不错的选择,我们将详细介绍dedecms删除织梦链,并为您提供关于DedeCms安全设置怎么做、dedecms安全设置集
对于织梦dedecms安全设置汇总/删除不需要的文件感兴趣的读者,本文将会是一篇不错的选择,我们将详细介绍dedecms删除织梦链,并为您提供关于DedeCms安全设置怎么做、dedecms安全设置集合整理、dedecms织梦中plus文件作用介绍及安全设置、DedeCMS网站防止被挂马及不需要的文件解决方案的有用信息。
本文目录一览:- 织梦dedecms安全设置汇总/删除不需要的文件(dedecms删除织梦链)
- DedeCms安全设置怎么做
- dedecms安全设置集合整理
- dedecms织梦中plus文件作用介绍及安全设置
- DedeCMS网站防止被挂马及不需要的文件解决方案
织梦dedecms安全设置汇总/删除不需要的文件(dedecms删除织梦链)
DedeCms安全设置怎么做
1、目录权限
我们不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:
(1) data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
推荐学习:织梦cms
2、其它需注意问题
(1) 虽然对 install 目录已经进行了严格处理, 但为了安全起见,我们依然建议把它删除;
(2) 不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
此外还需要注意问题是,不管IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。
密码替换:f297a57a5a743894a0e4 admin
以上就是DedeCms安全设置怎么做的详细内容,更多请关注php中文网其它相关文章!
dedecms安全设置集合整理
很多所谓的“黑客”都是用工具来扫描入侵,厉害点的人是不屑来黑我们的小网站的,所以我们一般做好安全防护就可以了。以下是我收集整理的内容:第一、安装的时候数据库的表前缀,最好改一下,不用Dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。
第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。
第三、装好程序后务必删除install目录
第四、将Dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plus\guestbook留言板
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
file_manage_control.PHP file_manage_main.PHP file_manage_view.PHP media_add.PHP media_edit.PHP media_main.PHP
再有:
不需要sql命令运行器的将dede/sys_sql_query.PHP 文件删除。
不需要tag功能请将根目录下的tag.PHP删除。不需要顶客请将根目录下的digg.PHP与diggindex.PHP删除。
第七、多关注Dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.PHP),不用的话可以删掉,这个也比较容易上传小马的.
第九、Dedecms官网出的万能安全防护代码,官网的要会员才能看.
为了让大家的CMS更安全,有需要的手工在config_base.PHP里加上
打开
config_base.PHP
找到
//禁止用户提交某些特殊变量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
}
}
改为下面代码
//把get、post、cookie里的<? 替换成 <?
$ckvs = Array('_GET','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
//检测上传的文件中是否有PHP代码,有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},'r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!='' && ereg("<\?",$fstr)){
echo "你上传的文件中含有危险内容,程序终止处理!";
exit();
}
}
}
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
上一篇:从零开始学DedeCms模板,模板教程,从此模板制作不求人
下一篇:dedecms在linux下目录权限设置
dedecms织梦中plus文件作用介绍及安全设置
织梦国内第一大开源程序,之所以容易中毒,因为研究它的人太多了,用户量太大了,有可乘之机和商业用途。所以成了很多黑客下手的对象。
官方网站下载了Dedecms安装包以后,解压出来,有一个uploads文件,这里面的文件夹才是网站的安装文件,里面文件很多,今天织梦58就主要介绍下plus文件夹里面的各个功能模块,如果你只是做一个企业站的话,不需要太多功能,那么小编建议您看一下下面的相关文件操作把:
首先,小编建议大家如果下面介绍的功能都用不上的话,都可以删除,这里小编唯一不推荐删除的就是“友情链接”模块,其他的模块下面就开始讲解,如果你觉得用不上,可以在安装包内删除:
删除:guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;
删除:task文件夹和task.PHP【计划任务控制文件】
删除:ad_js.PHP【广告】
删除:bookFeedback.PHP和bookFeedback_js.PHP【图书评论和评论调用文件,存在注入漏洞,不安全】
删除:bshare.PHP【分享到插件】
删除:car.PHP、posttocar.PHP和carbuyaction.PHP【购物车】
删除:comments_frame.PHP【调用评论,存在安全漏洞】
删除:digg_ajax.PHP和digg_frame.PHP【顶踩】
删除:download.PHP和disdls.PHP【下载和次数统计】
删除:erraddsave.PHP【纠错】
删除:Feedback.PHP、Feedback_ajax.PHP、Feedback_js.PHP【评论】
删除:guestbook.PHP【留言】
删除:stow.PHP【内容收藏】
删除:Vote.PHP【投票】
删除:member目录【会员目录,一般企业站不需要】
删除:special【专题功能】
删除:company【企业模块】
删除以后,这些功能也就没有了,好多安全隐患也随之消失。
DedeCMS网站防止被挂马及不需要的文件解决方案
今天关于织梦dedecms安全设置汇总/删除不需要的文件和dedecms删除织梦链的介绍到此结束,谢谢您的阅读,有关DedeCms安全设置怎么做、dedecms安全设置集合整理、dedecms织梦中plus文件作用介绍及安全设置、DedeCMS网站防止被挂马及不需要的文件解决方案等更多相关知识的信息可以在本站进行查询。
本文标签:
