全部模板|推薦模板|TAG標簽|加入收藏|網站地圖您好,歡迎來到織夢云模板,一站式織夢模板定制下載站!
您現在的位置:織夢模板 > 織夢教程 > 織夢安全 >

dedecms織夢安全設置

時間:2016-03-19 來源:網絡 作者:織夢云模板 點擊:

官方設置(推薦):
1、以下目錄:data、templets、uploads、a設置可讀寫不可執行權限。其中a目錄為文檔HTML默認保存路徑,可以在后臺進行更改;
2、以下目錄:include、member、plus、dede設置為可讀可執行不可寫入權限。其中后臺管理目錄(默認dede),可自行修改;
3、如果不需要使用會員、專題,可以直接刪除member、special目錄;
4、刪除install安裝目錄;
5、管理員帳號密碼盡量設置復雜,發布文章可以新建頻道管理員,并且只給予相關權限;
6、Mysql數據庫鏈接,不使用root用戶,單獨建立新用戶,并給予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES權限;
7、定期進行備份網站目錄和數據庫,并在后臺進行文件校驗、病毒掃描、系統錯誤修復。

網友總結一:
不知道大家知不知道一個軟件叫IntelliTamper的,這是個網站目錄掃描工具,用這個工具掃描下你的網站就可以掃描出網站的目錄,當然也可以看到DEDE后臺文件名。在這里不得不吐槽下后臺地址的問題,dedeCMS改后臺地址只要改下DEDE文件夾的名字就行了,然后有次我在一個電商公司管理ECShop系統,技術部的老總(他P都不懂)在旁邊,我跟他說網站改下后臺地址就更安全了。于是我跟用DEDE一樣改下后臺文件夾名字,然后…..FK,竟然出錯了,當時臉紅紅的(窘…)。上度娘一查,原來還要修改一些PHP文件才可以的。然后這次玩WP,不敢亂改后臺文件夾的名字了,再次上度娘找改后臺地址的方法,妹的,竟然沒一個好用的…..(貌似我又跑題了)
所謂的安全方案原理就是:網站所有靜態頁面生成到根目錄,對瀏覽者隱藏dede安裝目錄。這樣別人不管用什么工具都不能檢測到你的后臺地址了。
在這里所說的,就是你把網站做好,在空間或者服務器上安裝好了之后,網站運行一切正常,再設置安全方案,當然,最好是在本地就把安全方案也一塊做了。
1.主頁生成路徑
把主頁生成路徑的位置改成 ../../index.htm

2.修改欄目文件保存位置
把核心-網站欄目管理-選一個欄目更改,然后在文件保存目錄那 的 {cmspath}/a/xinwendongtai 把{cmspath} 刪掉,也就是說只要 /a/xinwendongtai 前面的斜杠記得留著,注意:必須每個欄目都點擊更改來刪除,當然你也可以到數據用替換命令。改完確定后,靜態文件就會保存在根目錄的a文件夾里面了。
修改include/common.inc.php文件
打開根目錄下的include文件夾,找到里面的common.inc.php打開,搜索里面的
$cfg_medias_dir = $cfg_cmspath.$cfg_medias_dir;
$cfg_mediasurl = $cfg_mainsite.$cfg_medias_dir;
改成
$cfg_medias_dir =$cfg_medias_dir;
$cfg_mediasurl =$cfg_medias_dir;

$cfg_mainsite.是指網站根目錄 $cfg_mainsite.是指網站縮略圖路徑,就是把縮略圖路徑改到根目錄。大家知道,縮略圖是放在DEDE后臺目錄下的images文件夾,所以…..

打開include/arc.listview.class.php跟 include/taglib/arclist.lib.php查找defaultpic.gif,就是縮略圖的文件名。定位到
$row[‘litpic’] = $GLOBALS[‘cfg_cmspath’].’/images/defaultpic.gif’;
把images前面的 $GLOBALS[‘cfg_cmspath’]. 刪除,就變成
$row[‘litpic’] = ‘/images/defaultpic.gif’;
注意:這兩個文件只會影響arclist和list標簽調默認縮略圖。還有其它一些標簽也可以調默認縮略圖的。
還要在模板文件中不能使用{dede:global.cfg_templets_skin/}標簽,一使用就會暴露dede安裝目錄的名字,請自行查找。

DEDE織夢CMS終極安全解決方案
移動css文件、JS文件、圖片文件

因為模板用的樣式文件圖片都是放在模板文件夾中,一看址就會暴露,所以,這里要把網站涉及的css文件、JS文件、圖片文件通通放到根目錄。然后到模板里面修改圖片還有樣式文件調用的路徑。建議到本地修改,因為DW的替換功能可以文件夾替換,一般都是刪除{dede:global.cfg_templets_skin/}就可以了。
移動DEDE文件

到根目錄新建一個文件夾,比如改名xiedandan,名字自己取,然后把data、dede、include、plus、special、tags.php移動到新建的文件夾xiedandan中,所以后臺登陸地址就是www.xiedandan.com/xiedandan/dede
注意:member文件夾是會員功能,如果不用的可以刪除,當然,你也可以一起移動到新建的文件夾中。什么?install文件夾你都不刪除?這是安裝文件阿,裝好后必須刪!
還有將dede安裝目錄下的uploads復制到根目錄。
最后來張全家福
DEDE織夢CMS終極安全解決方案
最后的最后,再用IntelliTamper檢測下你的網站吧,看看是不是檢測不到模板、后臺地址了?

網友總結二:
本人以前所有dede的網站都被黑了,dede是好用,優化也好,就是不安全,個人是這樣認為的,所以以后網站都不敢用dede,直到昨天一哥們發我收集dede的所有安全設置,里面寫得很細,一看,還真多,如果做好這些安全設置的話,就不要怕網站被黑了!

其一:保持DEDE更新,及時打補丁。
其二:裝好DEDE后及時把install文件夾刪除
其三:管理目錄改名,最好是改成MD5形式的,最好長點
其四:DedeCms 萬能安全防護代碼http://bbs.dedecms.com/read.php?tid=15538
其五:如果是使用HTML可以把plus下的相應文件和根目錄下的index.php做掉(用不到的全刪掉,還可以把數據庫里面不用的表刪除掉)
其六:不用留言本的可以把如:www.xxxxxx.com/plus下的guestbook做掉
其七:不用會員的可以把member做掉
其八:www.xxxxxx.com后臺的文件管理(管理目錄下file_manage_xxx.php),不用的可以做掉,這個不是很安全,至少進了后臺上傳小馬很方便
其九:下載發布功能(管理目錄下soft__xxx_xxx.php),不用的話可以做掉,這個也比較容易上傳小馬的
最安全地方式:本地發布html,然后上傳到空間。不包含任何動態內容,理論上最安全。

第一:掛馬前的安全措失
a、改更默認管理目錄dede。
b、檢查install目錄里是否存在install.lock文件。有用戶沒給install目錄寫權限導致安裝的時候沒有生成lock文件。安裝完成后可整個刪除intstall目錄。
c、關注后臺更新通知,檢查是否打上最新dedeCMS補丁
d、服務器web目錄權限設置
有條件的用戶把DedeCms中data、templets、uploads、html、special、images、install目錄設置為不允許執行腳本,其它目錄禁止寫入,系統將更安全。
e、建議到官方下載程序
f、服務器安全措施(以windows2003系統為例)

1、更新系統補丁到最新的,并打開自動更新
2、安裝殺毒軟件,更新病毒庫到最新,并打開自動更新
3、打開系統自帶的防火墻,開放應用中的端口,以過濾不必要的端口訪問
4、打開tcp/ip安全策略,開放應用中的端口,以過濾不必要的端口訪問
5、打開用戶與用戶組管理,添加IUSR用戶對應不同WEB站點,以便分權限管理減少因一站點被黑帶來的權限危機
6、針對不同的WEB目錄設置不同的權限

例:WebSiteA目錄對應權限一般為system/administrators完全權限 IUSR_websiteA只讀權限
WebsiteA下面的子目錄根據DedeCMS程序的需求分配IUSR_websiteA的寫入運行權限,詳見上面b點目錄權限說明
7、不要在服務器上安裝不明來路的軟件
8、不要在服務器上安裝什么破解版漢化版軟件,如果實在需要建議用原版
9、建議不要安裝ServU FTP軟件,換用其它的FTP軟件,更改FTP端口,用戶密碼不要太簡單
10、如果不需要請盡量關閉服務應用的遠程訪問功能,如mysql user的遠程訪問
11、針對上面一點,可以運用本地安全策略功能,設置允許訪問IP。
12、運用本地安全策略,還可以有效拒絕CC攻擊,過濾來源IP的訪問。
13、服務器上各項服務應用注意及時更新補丁,如mssql切記打補丁,而且要使用正版的,沒條件的也要使用正規的復制版本
14、服務器上的各項應用如IIS配置mysql配置,請搜索百度谷歌這方面的安全應用的專題,加強內功是很重要的。
15、開啟IIS的訪問日志記錄

第二:掛馬后的安全檢查
必要時關閉網站進入一步步排查
a、進DedeCMS管理后臺檢查是否有新補丁或安全提醒沒有及時更新。
b、檢查源文件中是否有相應木馬病毒代碼,以確認是否為ARP攻擊

ARP攻擊表現:程序文件毫無異動,攻擊是采用欺騙目標網關以達到欺騙用戶端的效果,實現用戶端訪問網站加載木馬的目的。
ARP攻擊防范:對服務器加裝防ARP攻擊類的軟件及其它應對措施,或聯系您的IDC服務商。
c、檢查目錄權限,詳見第一大點里的安全措施。
d、檢查FTP里的每一個目錄,查找最近被修改過的可疑文件。
1、用記事本等類工具打開查找,如果是真被掛馬,這里分析下都能找到。
2、如果是整站被掛,請著重先檢查下整站調用的js文件。
3、從文件中找出被掛的代碼,復制代碼的關鍵語句部分,打開替換類軟件批量替或批量找吧。
4、上面一步需要有服務器控制權限,沒有的話只能下載回來批了。(這是謹慎的辦法,如果你有把握那可以只檢查部分文件或目錄)
e、上面還是解決不了,那得分析IISLOG日志,追根朔源查找入侵點。
你可以下載IISlog分析類軟件研究。

第三:如何向官方求助或報告安全問題?
1、查看木馬、可疑文件的修改時間
2、查看站點系統日志,對照第1點所獲得的時間,找出掛馬的方式。
3、請先認真閱讀理解一二大點,確認仍無法解決的,請論壇PM官方技術支持

本文版權歸原作者所有,轉載請注明原文來源出處,織夢云模板感謝您的支持!

本文鏈接:http://www.tdohmj.live/news/safe/news-5518.html dedecms織夢安全設置 http://www.tdohmj.live/news/safe/news-5518.html

關于本站 -聯系我們 -免責聲明 -常見問題 -服務項目 - 留言反饋

Copyright © 2012-2014 www.tdohmj.live. 織夢云模板 版權所有 | 粵ICP備14083021號-13 |

售前咨詢

售后服務

技術支持

會員登錄
還沒有賬號立即注冊

用戶名登錄

看不清?點擊更換

用第三方帳號直接登錄

返回

您可以選擇直接注冊或用第三方帳號登錄網站,一分鐘完成注冊

前三组选组六怎么玩