Dedecms后台系统程序升级到5.7 sp2版本之后,依旧存在很多漏洞。截止到今天,依旧有大约3万个使用dedecms管理系统程序开发的网站被黑客挂马。目前,dedecms官网没有给予任何答复以及解决方案。另外,对于国内公认最具权威的360网站安全监测,很失望的是一直曝正常。
这次针对于DEDE程序的木马,主要被运用于博 彩以及色情行业相关网站做跳转。从中我们也看出一个问题,曾经被公认为正义之士的黑客良莠不济,多数还是以损害个人利益来谋取利润。
dede织梦cms系统的程序存在漏洞,黑客攻击方法层出不穷,导致网站经常被黑,被百度安全中心等拦截,影响排名和流量,让站长非常头疼,下面总结一些防止dede织梦cms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。
1、安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称,比如:diy_
2、装好dede织梦cms系统后,删除预装文件install,虽然对install目录已经进行了严格处理,但为了安全起见,我们依然建议把它删除。
3、修改织梦后台文件目录:把默认的dede改成其他名字
4、织梦后台后台密码尽量复杂化:密码应该由大写字母、小写字母和数字组成。
5、将系统的data目录迁移到根目录以外:data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个目录可执行的权限,更是非常危险,所以,我们建议将这个data目录搬移出Web可访问目录之外。
基本操作如下:
(1)、将data目录移动到上一级目录中,这里直接剪切过去就可以了(具体可查看马海祥博客《安全正确转移网站data目录文件的具体方法步骤》的相关介绍);
(2)、配置include/common.inc.php中DEDEDATA文件
define('DEDEDATA', DEDEROOT.'/data');
可以改成类如:
define('DEDEDATA', DEDEROOT.'/../../data');
(3)、后台设置模板缓存路径
模板缓存目录:改为:../../data/tplcache
当然我们还要特别注意的是,dedecms默认的后台路径为dede,我们最好更改这个文件夹的名称,越复杂越好;另外,马海祥强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT)。
6、不用会员系统,就把member整个文件夹全部。
7、用不到留言本,就把plus下的guestbook文件删除。
8、不用下载功能,就把管理目录下的soft__xxx_xxx.php删除。
9、如果是使用HTML,可以把plus下的相应文件和根目录下的index.php删除。
10、不用专题功能可以把special文件夹删除。
11、用不到企业模块可以把company文件夹删除。
12、不用下载发布功能可以把管理目录下soft__xxx_xxx.php删除。
13、删除后台的文件式管理器:通过后台的文件式管理器,可以修改网站的任何文件,为了安全,马海祥建议把管理目录下file_manage_xxx.php删除。
14、如果不需要SQL命令运行器的,可以把管理目录下的dede/sys_sql_query.php文件删除。
15、另外一些用不到的文件都删除,还可以把数据库里面不用的表删除掉。
16、大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。
17、不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,由于DEDE并没有任何地方使用存储过程,因此务必禁用FILE、EXECUTE 等执行存储过程或文件操作的权限(具体可查看马海祥博客《取消网站文件目录脚本执行权限的方法步骤》的相关介绍)。
18、对织梦及时升级打补丁。作为织梦官网,升级也是经常在做的,我们在登陆网站后台的时候,如果看到有升级提醒,需要及时升级文件,以防止因为没有升级造成漏洞入侵。一般常见的安全,官网会第一时间发现,并且提供补丁。
19、不要忘记定期对数据备份。对于备份大家都知道,有利网站的安全,定期备份数据是任何网站都必须做的,不仅仅是DEDECMS织梦系统。
这些是常用的防攻击方法,正所谓:道高一尺,魔高一丈,网站排名好了,流量多了,就会有人想尽办法攻击你的网站,最好的办法是定期备份,并把备份文件下载到电脑安全的地方保存好,网站如果被攻击,把空间里面的文件全部删除,上传备份文件即可(具体可查看马海祥博客《网站转移教程:织梦系统数据库备份和还原的方法步骤》的相关介绍)。
20、其它需注意的问题
以下一些是可以删除的目录:
member 会员功能
special 专题功能
company 企业模块
plusguestbook 留言板
以下是可以删除的文件:
file_manage_control.php;file_manage_main.php;file_manage_view.php;media_add.php;media_edit.php;media_main.php
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全。
综上所述,在力所能及的范围内,你可以采取一些措施来加强织梦的安全的,如果自己实在是个技术菜鸟,那不妨先按照上面的介绍,做好提前预防措施,至少能预防一些常规的攻击。
迁移免费cms系统 (织梦转其他cms管理系统) (dedecms转其他免费cms管理系统) (织梦内容管理系统转其他免费cms管理系统) (dedecms织梦转其他cms管理系统) (dede织梦转其他cms管理系统)前端不变,路径不变,模板不变……
新cms功能特性(文末联系)
迁移CMS内容管理系统,拥有PC版、小程序版本、UniAPP版(高级授权),提供CMS全部源代码和CMS小程序全部源代码 所有源代码无加密、无后门。
响应式设计
响应式布局,手机、平板、PC自适应匹配
自定义模型
自定义内容模型、自定义字段、自定义表单
付费阅读
支付宝、微信支付、余额支付无缝整合,支持内容局部付费
付费下载
无缝整合微信支付宝和会员余额付费下载资源
小程序端
微信小程序CMS客户端和服务端全部源代码
评论模块
支持注册会员评论功能,支持评论邮件通知功能
单页模块
支持任意创建单页,支持单页点赞、赞赏、评论功能
投稿模块
支持注册会员投稿,支持任意控制投稿字段和投稿栏目
统计控制台
会员统计、文章排行、热门搜索、热门标签、订单日/周/月/年统计
回收站
文章、评论、单页、专题支持回收站功能,支持一键清空和恢复
管理员数据控制
管理员仅管理自己发布的数据,支持文档、区块、专题、自定义表单控制
多副栏目
支持一个文档属于多个副栏目功能,且支持一个文档属于多个专题
栏目权限
支持在后台添加不同的管理员分配不同的栏目权限
Sitemap
支持生成文档页面和标签页面的Sitemap地址
API接口
提供API接口,可用于对接第三方或转移已有网站数据
全文搜索
支持一键整合Xunsearch全文搜索插件搜索更强大
专题模块
强大的专题模块,可自定义专题模板,标签关联数据
违禁词检测
强大的违禁词检测,支持自定义和百度AI接口调用
关键字提取
一键提取关键词和描述,支持本地和百度AI接口调用
无缝整合
支持无缝整合微信支付宝、会员充值、富文本、云存储插件
自动内链
支持自定义内链文字,支持设置文章标签自动内链
标签生成器
支持文章模板标签、栏目模板标签、单页模板标签、SQL调用模板标签
UniAPP版本
UniAPP版本支持会员文章模板、支持自定义表单、会员签到排行功能
移动端样式
UniAPP版本支持自定义UniAPP版本样式、颜色、颜色、底部选项卡等
CMS微信小程序
基于thinkPHP的CMS内容管理系统可以快速的创建你的微信小程序,快速开发你的第一款小程序。
基于ZANUI2框架开发
小程序前端框架基于ZanUI2进行二次开发,同时封装很多实用的方法便于你二次开发
多端数据同步
后台发布数据库,网页端和小程序端数据同步展示,自动进行小程序格式转换
整合会员账号
会员中心可绑定网页端的账号,达到小程序端和网页端账号统一更新和展示
小程序演示
请使用微信扫一扫二维码查看CMS小程序演示
全端移动CMS内容管理系统 仅限高级授权独享
基于UniAPP开发的全端移动CMS内容管理系统可以快速的创建微信小程序、安卓APP、苹果APP。
支持会员移动端发布文章、自定义表单、会员签到和排行、文章搜索等功能。
基于UniAPP+uView开发
基于UniAPP+uView前端框架开发、体验更流畅、更便捷的小程序+APP开发
多端数据同步
后台发布数据库,网页端、小程序、APP端数据同步展示,自动进行小程序格式转换
整合会员账号
会员中心可绑定网页端的账号,达到小程序端和网页端账号统一更新和展示
安卓APP演示
请使用微信或浏览器扫一扫二维码安装安卓APP体验
富文本编辑器
多达十款CMS富文本编辑器可选择
会员充值余额插件
付费功能必备,可整合CMS付费阅读和CMS付费下载
微信支付宝整合插件
可搭配CMS付费阅读和CMS付费下载使用
发表评论 取消回复