联系我们

Email:wanzhanqun@163.com

电话:155-7782-2416

QQ:663486249

地址:北京市朝阳区广渠路38号院411号楼

织梦是什么

织梦系统是目前开源CMS系统中,使用人数最多的系统之一,所以也被黑客们盯上了,官方对于系统的更新速度也比较慢,所以大家只能自己做好防范工作,这里跟大家详细讲述下几种方案。

一:尽量不要使用香港、国外等虚拟空间。

这类虚拟空间,安全性非常低,几百甚至几千个用户的网站都放在一台服务器上,一旦其中的某个网站被攻击,正好他也是织梦系统,那么你的完整就很容易被连带攻击。大家想一下,为什么你的网站才刚做,网站都没收录,百度都搜不到你,为什么黑客会知道你,并且攻击你,就是应该你被别人连带攻击了。

二:网站本身做好防范:

1、修改默认后台名。

打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随意修改,比如修改为[adminbuy],此时后台登陆的路径为:http://www.*****.com/admins/

2、删除member文件夹(如果你没有会员功能)

Member文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,就像AB模板网发布的基本都是企业站,所以并不需要会员系统,这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。

3、删除special文件夹

Special文件夹是专题的意思,AB模板网上下载的源码都没有用到这个专题页面,所以大家放心删掉好了。

4、打开plus文件夹

留下这么几个文件,其他全部删除,参考下图;

下面我们对这几个文件做下解释,

Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留

ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留

Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留

Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留

List.php 这动态栏目,AB模板网上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留

View.php 这个是动态文章,道理和list.php一样,建议保留。

count.php 这个是文章浏览次数,建议保留。

如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。

DEDE 管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

再有:

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

不需要tag功能请将根目录下的tag.php删除。

删除 dede/mytag_add.php 【自定义标记管理】

删除 dede/mytag_edit.php 【自定义标记管理】

删除 dede/mytag_main.php 【自定义标记管理】

删除 dede/mytag_tag_guide.php 【自定义标记管理】

删除 dede/mytag_tag_guide_ok.php 【自定义标记管理】

多关注dedecms官方发布的安全补丁,及时打上补丁;下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传木马的;DedeCms官网出的万能安全防护代码,我发在文章后面,官网的要会员才能看;最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦;还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.

三、删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。

这里要提醒一下大家,由于我们修改了内容,所以当你网站要搬家换服务器时,这时,你把网站传到了新的空间,这时你需要再次安装,发现安装文件[install]上次删除了,不用担心,直接去官方下载一个网站的系统,复制的他的install 传到你的空间,进行安装即可,但是你要知道自己网站的编码(gbk、utf)。不然安装界面会乱码。

另外,由于我们修改后台名等其他内容,所以安装时候会出现这样的情况,这个不用担心,只是系统没找到我们这个文件夹,因为我们修改了,大家直接下一步即可,但是如果你发现全部都是红色叉叉,那就是你空间权限问题了。

四、修改用户名和密码,修改密码很简单,后台-系统-系统用户管理,点更改,然后修改即可,但是用户名默认的是admin,大家发现不能修改用户名,其实是可以的,

下面详细从10个方面入手dede安全

一、数据库安全

dedecms使用的是mysql数据库,那么Mysql数据库信息不要设置得过于简单,建议不要使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限,数据库密码设置得复杂些。

二、删除install安装目录

dedecms安装完成后,网站根目录的安装目录install/就没有作用了,为了防止别人利用,最好把install文件夹整个删除。

三、修改后台管理目录名称

dedecms默认后台管理目录是dede,很容易被黑客获知,因此建议修改后台管理目录文件夹,登陆FTP把网站根目录下的dede/文件夹重命名,修改为其它名称即可。修改后登陆后台的URL即是:http://域名/修改后的文件夹名称/login.php

四、设置目录权限

对data/、templets/、uploads/、a/网站目录文件夹设置为755可读可执行不可写入权限。

对include/、member/、plus/、dede/网站目录文件夹设置为755可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改。

五、删除无用的目录

很多站长使用dedecms搭建网站并没有开启会员功能、专题功能,如果确认不需要使用会员、专题,可以直接删除网站根目录里的member、special目录。

六、修改帐号密码

很多站长习惯使用admin作为用户名,密码也设置的比较简单,这非常影响网站安全,管理员帐号密码要尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限。

七、修改/data/common.inc.php 这个文件权限为444,只能读取

八、改变织梦data目录位置。

data目录用于存放织梦系统一些重要的配置文件与数据,应该予以重点保护。具体操作步骤为:

1) 新建一目录用于存放data目录,如mydataabc,将DATA目录移动到该目录下。这样data的完整目录变成/mydataabc/data,或者将data目录移到web之外。具体移动教程,可以搜索本站获得。

九、不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

十、后台管理目录下file_manage_xxx.php,不用的可以做掉,这个不是很安全,至少进了后台上传小马很方便。

十一、下载发布功能(后台管理目录下soft__xxx_xxx.php),不用的话可以做掉,这个也比较容易上传小马的。

十二、定期备份

备份永远是最好的保障,一旦网站被黑或被删除可以在第一时间恢复网站,最大限度地减少损失。建议dedecms站长定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复,发现问题尽快修复。

热门地区

浙江 武汉 绥芬河 永川 石河子 邢台 南安 宜城 凌源 禹城 江都 广西 界首 嘉峪关 六安 建阳 肇东 盘锦 扎兰屯 三门峡 咸阳 安丘 荥阳 宜都 龙岩 许昌 遵义 文登 廉江 泰安 瓦房店 金华 盖州 东台