名站网址导航为大驾家提供DedeCMS站点程序站点教程相关的知识,比如织梦程序安装教程,织梦程序系统故障等教程。
有朋友的织梦程序DedeCMS站点程序网站的后台程序被挂马,造成损失,就认为织梦程序安全性很低。说实话能被黑客看得上的站点其实做得还可以,垃圾站连我也不屑光顾。其实只要积累经验,就能让站点更安全,下面就来谈一谈具体的设置相关具体操作方法:
网站的后台密码设置要复杂
管理员密码一定要长,字母与数字混合,不要用admin。系统数据库存储的密码是MD5的,一般hACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。
删除不需要的目录
不需要的功能一律删除,如不需要会员功能就将member网站文件夹删除,删除多余组件是避免被hACK注射的最佳办法。将每个目录添加空的index.html,防止目录被访问。
可删除目录站点列表:
member会员功能
special专题功能
install安装程序(必删)
company企业模块
/plus/guestbook留言板
以及其他模块一般用不上的都可以不安装或删除。
删除不需要的网站文件
/dede/file_manage_control.php
/dede/file_manage_main.php
/dede/file_manage_view.php
/dede/media_add.php
/dede/media_edit.php
/dede/media_main.php
这些网站文件是网站的后台网站文件管理器,一般用不上统统删除,要管理网站文件夹尽量到FTP。
不需要SQL命令运行器的将下面网站文件删除。
/dede/sys_sql_query.php
不需要tag功能请删除:
/tag.php
不需要顶客请删除:
/plus/digg.php
/plus/diggindex.php
修改配置
为了防止hACK利用发布文档、上传木马,请安装完成后阻止上传PhP相关具体代码如下。到此基本堵上了所有上传与编辑木马的可能性,附带简单相关具体操作方法。
打开include/config_base.php,找到
Copy code//禁止用户提交某些特殊变量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
}
} |
改为下面相关具体代码如下
Copy code//把get、post、cookie里的<? 替换成
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);<>
${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
//检测上传的网站文件中是否有PhP相关具体代码如下,有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},'r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!='' && ereg("<\?",$fstr)){<>
echo "你上传的网站文件中含有危险网站内容,程序终止处理!";
exit();
}
}
} |
目录重命名 虚拟主机注意事项
管理目录/dede务必重命名,而且要像密码一样复杂才最好。
补丁升级
DedeCMS站点程序更新频率不高,但是如果有更新一定用最新的,如果已经做了二次网站开发的,先备份数据库,再仔细对比手动覆盖安装。
关于DedeCMS站点程序站点教程相关的知识,就说到这里了希望能帮助朋友们。织梦程序自定义宏标记静态网站网页页面部分动态显示相关具体操作方法
