SEO技术博客dede教程 ↬ 正文dede教程

织梦CMS网站安全设置教程,做好这些织梦安全翻三倍

深山2019-03-29 08:49dede教程快速评论

dedecms程序非常简单易用,也是国内被使用最多的一套开源cms程序,10个企业站里面7个都是dede。但是经常用织梦的朋友都知道,织梦CMS网站安全系数很低,总是容易被挂马,虽然说不能完完全全解决这个问题,但是我们可以减低被挂马的几率,所以一起来看看今天深山SEO博客分享的文章:织梦CMS网站安全设置教程,做好这些织梦安全系数翻一倍

另:dede网站被挂马参考《织梦网站被挂马或快照劫持的有效处理方法

dedecm网站安全设置教程

只说一遍:对照本文删改前请做好相应备份!!!

1.修改默认后台目录

dedecms网站默认的管理后台是/dede,可以换成其他名称,建议使用中文英文数字结合。

2.删除默认管理员账号admin

(1)新建管理员账户:

点击系统->系统用户管理->增加管理员,填写登录账户及密码等信息,用户组选择“超级管理员”(也可以不用删,直接到数据库中改名)

(2)删除默认的admin用户:

点击系统->SQL命令行工具,运行SQL命令:delete from dede_admin where id = 1;

3.删除根目录下多余的文件

(1)install文件夹:安装目录,安装完之后这个文件夹就没用了,整个删除。

(2)member文件夹:会员功能,若你的网站没有不需要用到会员,请删除。

(3)special文件夹:专题功能,若网站没用到专题功能,请删除

(4)tags.php文件,如果网站没用tag标签功能可删除

删除根目录下不必要的文件夹

4.删除plus中无用的文件

dedecms根目录下的plus文件中的文件,建议保留:/img/文件夹、ad_js.php,count.php,diy.php,list.php,search.php,view.php这几个即可,其余可以删除。

织梦根目录下plus目录及文件相关功能如下表(*代表所有):

文件名 功能 是否删除
/plus/guestbook文件夹 留言板 删除
/plus/img/文件夹 图片 可删除
/plus/task/文件夹 计划任务 删除
/plus/ad_js.php 调用广告,企业站可以删除 保留
/plus/advancedsearch.php
/plus/heightsearch.php
高级搜索
(一般只用到search.php)
删除
/plus/arcmulti.php 异步方式调用指定的tag列表 删除
/plus/bookfeedback.php
/plus/bookfeedback_js.php
图书评论和评论调用文件
(存在注入漏洞风险)
删除
/plus/car.php
/plus/posttocar.php
/plus/carbuyaction.php
购物车 删除
/plus/comments_frame.php 调用评论(存在安全漏洞)
不用系统自带评论的可以删除
删除
/plus/count.php 阅读次数统计 保留
/plus/digg_*.php 文章的顶踩功能 删除
/plus/disdls.php
/plus/download.php
下载次数统计/下载功能 删除
/plus/diy.php 自定义表单 保留
/plus/erraddsave.php 文章纠错 删除
/plus/feedback.php
/plus/feedback_*.php
评论相关功能
(不用站内评论的可以删除)
删除
/plus/flink.php
/plus/flink_add.php
友情链接添加 删除
/plus/freelist.php 自由列表 删除
/plus/guestbook.php 留言 删除
/plus/list.php 动态浏览栏目页 保留
/plus/mytag_js.php 自定义标签js调用方式 删除
/plus/qrcode.php 生成二维码 删除
/plus/recommend.php 信息推荐 删除
/plus/rss.php RSS列表页 删除
/plus/search.php 搜索 保留
/plus/stow.php 收藏文章 删除
/plus/task.php 计划控制文件 删除
/plus/view.php 动态浏览文章 保留
/plus/vote.php 投票 删除

还需要删除一些功能,比如文件管理(这个文件管理器可以轻而易举的上传编写好的程序木马)、SQL命令等都需要删除(其实可以改后缀,下次自己要用的时候再改回来)。

5.删除后台(dede目录)不必要的功能

dede目录下可以删除的文件,我同样罗列一个表格出来给大家对照(*代表所有):

PS:可以删除文件需要用的时候再上传,仔细对照哪些功能有用,也可以改名例如/dede/tpl文件上传.php

文件名 功能 是否删除
/dede/ad_*.php 广告管理添加/删除文件,
企业站一般用不到
可删除
/dede/cards_*.php 点卡功能功能 可删除
/dede/co_*.php 采集控制文件 可删除
/dede/erraddsave.php 纠错功能功能 可删除
/dede/feedback_*.php 评论管理功能 可删除
/dede/file_*.php 文件式管理器功能,易被挂马 可删除
/dede/group_*.php 圈子功能,几乎用不到 可删除
/dede/media_*.php 附件数据管理功能文件,易被挂马 可删除
/dede/module_*.php 上传/安装/管理模块;
先卸载无用模块再删除该功能
可删除
/dede/mytag_*.php
/dede/mytag_tag_*.php
自定义标记管理,
易被上传一句话木马
可删除
/dede/spec_*.php 专题管理功能,没有专题页面 可删除
/dede/story_*.php 小说功能功能 可删除
/dede/sys_sql_query.php SQL命令运行器,易被注入木马 可删除
/dede/templets_*.php 模板管理功能,可以使用FTP管理 可删除
/dede/tpl.php 文件上传/管理系统文件,易被挂马 可删除
/dede/vote_*.php 投票功能 可删除

dede目录中可以删除的文件都列在上面表格了,各位可以对比自己的网站,用不到的就删除或者改名即可。

6.禁止目录的php执行权限

以下(本文步骤6)内容未经过深山实际测试,自行测试,其实只要做到上面说的,就已经很安全了,小站点没人有那么多心思研究你的!

(1) Linux系统的用户通常是apache环境,可以利用.htaccess文件来禁止php执行权限,在网站根目录新建.htaccess复制以下代码添加进去(如果已有.htaccess文件就直接复制就可以),传到网站根目录即可。PS:其他文件可以自己对比加上。

RewriteEngine on
#安全设置 禁止以下目录运行指定php脚本
RewriteCond % !^$
RewriteRule a/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule imges/(.*).(php)$ – [F]
RewriteRule css/(.*).(php)$ – [F]
RewriteRule js/(.*).(php)$ – [F]
RewriteRule style/(.*).(php)$ – [F]
RewriteRule skin/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php|htm)$ – [F]
RewriteRule uploads/(.*).(php)$ – [F]

(2)windows系统的用户通常都是IIS7、IIS8环境,可以利用web.config文件来禁止php执行权限(需要主机支持伪静态),在网站根目录建立web.config文件,再将以下代码复制到进去即可。PS:这里我就是简单的复制了两个文件夹的,其他文件夹可以自行增加。

<rule name="Block data" stopProcessing="true">  
<match url="^data/(.*).php$" />    
<conditions logicalGrouping="MatchAny">     
<add input="{USER_AGENT}" pattern="data" />    
 <add input="{REMOTE_ADDR}" pattern="" />  
 </conditions>  <action type="AbortRequest" />
 </rule>
 <rule name="Block templets" stopProcessing="true">  
<match url="^templets/(.*).php$" />     
<conditions logicalGrouping="MatchAny">     
 <add input="{USER_AGENT}" pattern="templets" />     
 <add input="{REMOTE_ADDR}" pattern="" />   
 </conditions>  <action type="AbortRequest" />
 </rule>

以上6个步骤都已经逐一完成之后,那么恭喜大家,你们的织梦网站安全系数已经可以达到70%的了,一般不容易被入侵了,这篇文章是织梦的基础安全设置,还有官方要求将织梦data迁移,除此之外就是定期打补丁,程序出现bug,官方更新之后,你就需要立马打补丁,本次分享的织梦cms网站安全设置教程到此结束!

- END -

浏览完了?你可以点我去评论留下观点!

评论

    不发表一下观点,这个评论功能拿来做什么?
    • 全部评论(0

本月热门

站点信息

  • 网站运行
  • 共有文章:78 篇
  • 标签管理标签云
  • 网站程序DedeCMS V5.7 SP2
  • 群二维码:加入SEO技术交流群