DEDECMS教学 DedeCMS安全设置必定要做的事
发布时间:2022-05-20 14:07:48 所属栏目:经验 来源:互联网
导读:DedeCMS因为使用的人多,站点无数,所以有很多不良之人,窥探着它,我的站点以前也经常被挂马,但这不能就说DedeCMS安全,别说这免费的软件,就算微软开发的软件也一样逃不过。 但是我们可以通过设置脚本执行与目录写入权限,尽可能的避免被挂马,首页我们先
 DedeCMS因为使用的人多,站点无数,所以有很多不良之人,窥探着它,我的站点以前也经常被挂马,但这不能就说DedeCMS安全,别说这免费的软件,就算微软开发的软件也一样逃不过。 但是我们可以通过设置脚本执行与目录写入权限,尽可能的避免被挂马,首页我们先来了解一下DedeCMS的目录结构: a 默认的静态HTML生成目录, data DedeCMS缓存与一些临时数据目录 dede 后台管理目录 images 图片目录 include DedeCMS系统库目录 install 安装文件目录 member 用户 个人中心 plus 插件目录 special 专题HTML生成目录 templets 模板目录 uploads 默认的上传目录 根据各目录的功能,我们就比较容易怎么调协了, 1、a 因为是静态目录,并且在要生成HTML的,所以拒绝脚本执行 充许写入 2、data 因为是缓存等,所以充许写入,但是因为这里面的文件引入到其它地方进行使用,所以要拒绝脚本执行 3、dede 后台管理目录,并且这个一般情况下不需要修改,所以充许脚本执行,拒绝写入 4、images 仅是存系统图片, 所以拒绝脚本执行,拒绝写入 5、include 虽然这个目录有系统库,一般情况下也是引入到其它地方使用,但是也有一些文件需要执行,比如验证码,但是一般不需要修改。所以允许脚本执行,拒绝写入 6、install 这个目录在系统安全完之后,直接delete。 系统部署之后,这个文件夹就没有用了 7、member 如果不使用会员系统,这个目录夹也可以直接删除。 8、plus 这个插件目录,不需要修改的,允许脚本执行,拒绝写入 9、special 这个专题文件夹,一般我们会改名。与a目录一样,拒绝脚本执行,充许写入 10、templets 这相模板目录,拒绝执行,拒绝写入。黑客主要想改的就是它,所以一定要写入,虽然拒绝写入之后,比较麻烦,如果修改模板,要先充许写入,再修改再去拒绝写入,但是不要嫌麻烦,毕竟为了安全嘛。 11,uploads 上传目录,不用说必须拒绝脚本,充许写入,一个不小心,黑客就给你上传个木马上来了,。 除此之外,还有一些需要做的,就是修改后台dede的目录名,减少一个风险,还有就是将data目录根目录之外,这也是官方要求做的,但是不得不说,这会带来很多问题,比如访问根目录下面的index.php会了错,三级联动也会出错。 index.php 可以通过修改代码解决,如果你不需要三级联动功能,可以移出data。 操作方法: 1、修改/include/common.inc.php 将 define('DEDEDATA', DEDEROOT.'/data'); 改成: define('DEDEDATA', DEDEROOT.'/../data'); 2、到后台系统基本设置->性能选项 里面设置 模板缓存目录为 /../data/tplcache 或者直接进dede_sysconfig 里面修改 cfg_tplcache_dir 的值为 /../data/tplcache 做完这些,还不够,/plus 目录下面的很多东西是我们不需要的,但是很多在安全上做得不够,我们一定要把不需要的插件删除。 (编辑:大同站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐