织梦安全吗?织梦dedecms安全防护的四个步骤

2017-05-18 安全设置 浏览 手机预览
文章来源:http://www.dedecmsok.com/html/n37.html

织梦到底安全吗?这是所有使用织梦的站长都问过的问题,小编在这里只能告诉大家,没有绝对安全的程序。可为什么大家都说织梦不安全呢?

随着织梦cms的使用者增加,一些漏洞也就被慢慢的发现。

众所周知,织梦的某些php文件包含漏洞,比如任意上传漏洞,spl注入漏洞,都是比较让站长伤脑筋的。

那么我们如何做好相应的安全防护呢,小编特意程序研究了一下织梦的一些漏洞文件,发现问题总是出现在4个重要文件夹里面:


第一步:修改dede后台文件夹名称

后台文件夹dede是我们管理网站登录的文件夹,安装好程序之后一定要修改dede目录名称,建议用数字和字母的组合,这样就可以大幅度提高安全性。

如果有一定基础的站长可以删除目录下一些不必要的php文件,比如我们做企业网站,那么我们只留下文章发布、文章修改、生成、列表、自定义表单等等我们需要用的php和htm模板,其余都删除掉,这样安全性会大幅度的提高。
尤其是友情链接模块和友情链接的php文件,据说这是第一个被发现的后台注入漏洞,建议大家删除该模块和php文件,如果需要友情链接,我们可以手动写入到模板中。


第二步:删除install文件夹

install文件夹是织梦程序的安装文件夹,为了防止被人恶意安装,我们在安装完成织梦cms之后要把这个文件夹全部删除,如果我们需要搬迁网站,那么可以从织梦的官方网站再次下载文件包,把install文件夹拷贝一下到根目录即可。


第三步:删除member文件夹或修复BUG【修复漏洞点击这里】

member是织梦的会员目录,可以说是发现漏洞最多的目录,因为会员的一些文件上传权限问题,导致了网站有了安全隐患,如果我们是做企业网站或者个人网站,删除这个文件夹是最稳妥的方法。删除后我们进入后台的系统设置里面关闭会员功能(默认是关闭状态)。如果需要用到会员功能,建议大家过滤一遍member文件夹里的php文件和htm模板文件,删除多余的功能,htm模板中也删除掉一些不用的代码,安全性是没问题的。


第四步:修改plus文件夹名称

plus是织梦的动态数据储存文件夹,也是黑客们批量扫描网站最喜欢的文件夹,建议把plus名称修改一下,这样就降低了批量扫描时被爆破的概率。
(修改plus名称之后会导致一些功能无法实现,比如文章点击量计数器,动态浏览等,这时候我们需要修改一些文件内容来对接。)

打开系统配置文件/include/common.inc.php
找到大概191行的代码:$cfg_plus_dir = $cfg_cmspath.'/plus';
把plus修改为新名称即可。


篇外话:建议大家把根目录下的模板文件夹templets名称也修改一下,防止模板被直接访问,修改步骤请查阅这篇文章:

http://www.dedecmsok.com/html/n43.html


原文地址:http://www.dedecmsok.com/html/n37.html
  • 如果你的问题还没有解决,可以点击页面右侧的“ ”,站长收到问题后会尽快回复解决方案到你的邮箱。
  • 创造始于问题,有了问题才会思考,有了思考,才有解决问题的方法,才有找到独立思路的可能。 —— 陶行知