易优cms—安全好用,商用授权只需要188元,网址:https://www.eyoucms.com

Dedecms做为国内使用最为广泛使用人数最多的CMS之一,相信很多站长和我一样t ] F z _ 2选择了它,它的优+ ! \ / L I h z m点我就不多说了。可是令很多站长头疼的是,用dedecms建的站经常被人莫名其妙的挂马,造成满页黑链、广告、弹框,令人气愤;更为可怕的是,? I r v _ O * f还有可能被搜索引擎惩罚,辛辛苦苦建立的站,眼睁睁的看它权重下降,收录减少,甚至被K;更为严重的则服务器成为肉机,宝贵数据丢失。其实,对于dedecms挂马,我们完全可以h | i L I (防范于未然。今天,笔者就自己的体会K & = M z p }从以下| n J \ j几点和广大dede爱好者们谈谈怎样防止dedecms被挂马,提高DeZ r K Ydecms的安全。

  先来看看原因吧,为什么PHP程序经常出漏洞,其实是由PHP程序本身决定的。PHP可复用性低,导致程序结构错综复杂,到处是冗余代码,这样不仅利于漏洞的产生,还影响漏洞的} L \ P 0 c h a z修复;PHP程序入门简单且普遍开源,导致} 6 ! N z b很多人都可直接阅读代码,搜寻漏洞;这样m u : – ~ \便有源源不断的漏洞被发现、被修复、被发现。而当前流行的PHP系统习惯用以文件形式做为缓存,这样就需要开放文件的写入权限,这无疑成为PHP系C 0 A ( e & [ o统的软肋。目前针对PHP系统的攻击方式,除了已经很少出现的“注入”攻击外,大部分攻击都是通过系统的某个漏洞,向可写文件里插入一句话木马,以此方式k \ v M获得shell。

  网站安全从来都是服F E C ~ \ ; }务器配置、文件权限控制和网站程序三者的相互配合,“可执行的文件不允许被修改,可写文件不允许被访问”这是网站权限控制的根本原则,网站程序` ~ R 8 B 2 M在“可写文件不允许被访问”方面可做许多工作。就拿Dedecms来9 H } N说,我们可以在如下X e 5 } T n % y几个方面做好保护。

  1、我们下载并安装了程序之后,首先就是要设置目录权限,这样即使木马突破服务器的限制,我们也让它找不到进一步破坏的地方。我们可以把data、templets、5 ; ! Z Auploads设| * Z k 7 ~ k置为可读写,不可执行权限。把include、member、plus、后台管理目录 设置为可读,可执行,不可写入权Z e p _ | L 1 E t限(安装了附加模块的,book、ask、company、group 目录同样如此设置)。

  2、改名根目m } t \ $ Q 8 ?录下的data目录,或者移动到网站目录外面。daj # 2 \ = b ! ota目录x 1 | /便是最藏污纳垢的地方,系统经常要往这个目录写数据,这个目录下的任何一个文件都可以通过URL访问到,所以要让浏览器访问不到里面的文件,就需要将此目录改名,或者移动到网站的目录外面去。这样,即使别人通过漏洞往文件里写入了一句话木马,i E _ n ; 1 I &他也找不到此木马所在的文件路径,无法继续o q c K d . = 7展开攻击。因为Dedecms程序的设置,所以改名data目录操作比较复杂,具体做法可以参考:如何将织梦的data目录迁移& C [ f 6 U到根目录以外

  3、程序越大、漏洞就越多,我们就需要精简网站,一些不常用的dedecms功能,我们的网站用不到的功能就可以删除。

  比如 dedecms的member文件夹是会员系统,用不到可以删除;

  special是专题,用不到可以删除;需要可以在生成HTMLm # ) L / M G t后,删除。

  company是企业功能模块,用不到可e 7 k以删除;

  plusguest/book 是留言板,用不到可以删除;

  install是安装p ? K o 1 a F程序,install在程序安装完后删除它。(强烈建议删除或者改名)

  dede是网站后台管理目录,请把dede改名,越复杂越安全,但是自己一定要记住,最好不要用网站名称之类容易猜到的。后台地址隐藏好,即使别人获得了你的管m – y 3 W理员账号、密码,也无法登录。

  所有PHP开源程序安全设置都有相通之处,要学会举一反三。不妨学习一下其它开源系统的网站安全设置经验。

  4、FTP密码复杂化,如果你的FTP密码很简单,就很容易被黑客猜中。因此尽量将FTP密码设置的复杂一些,最好字母+数字组合,10位以上,让那些破解程序破解去吧(我们空间默认的FTP密码就是复杂随机密码,更改密码之后一定要牢记密码)。

  5、网上流传的经典防黑客注入方法(DEDE防注入两方法)

  一是将每个目录添加空的index.html,防止目录被访问;

  二是r G Q 0 s E O给做好网站301页面、403页面、404页面可以禁止访问某页或某文件。

  6、多关注官方平台,登录网站后台看看系统主页有没有升级更新的补丁提( @ f示,及时更新和升级补丁。友情提示:升级程序之前别忘记了重要数据的备份,包括图片、模板等。

  7、最后Q c } T 1 0一点,数据备份。其实即使我们做到了最严格的防范,也不能完全防止被挂马,正所谓道高一尺魔高一7 0 s丈!所F d N b g ( k以你的网站数据一定要经常备份。这样就算是网站被黑t * T q u 2 1 k,也能通过重装程序还原数据,将损失降低到最低,毕竟数据是站长们最宝贵的财富。

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请联系管理员!
8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载
声明如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性

源码巴巴网 » dedecms如何做好安全防范挂马

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
提示下载完但解压或打开不了?
最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或 联络我们.。
你们有qq群吗怎么加入?
当然有的,如果你是帝国cms、易优cms、和pbootcms系统的爱好者你可以加入我们的QQ千人交流群http://www.yuanmababa.cn/page-qun.html。
  • 25会员数(个)
  • 744资源数(个)
  • 0本周更新(个)
  • 0 今日更新(个)
  • 1040稳定运行(天)

提供最优质的资源集合

加入VIP
开通VIP 享更多特权,建议使用 QQ 登录