名站网址导航为大驾家提供DedeCMS站点程序站点教程相关的知识,比如织梦程序安装教程,织梦程序系统故障等教程。
为什么你的站点总是被入侵
1、漏洞的多少除了程序本身之外,和使用量也有关,织梦程序dedecms网站程序的市场占有率相当高,用的人也多,肯定找漏洞的人就多了,甚至网上还有各种针对织梦程序漏洞爆破挂马的工具,连刚出生的婴儿都能操作的批量挂马工具,问你怕了没,相反有的程序都没有几个人用,没有人找漏洞,暴露出来的也就少了。
2、织梦程序dedecms网站程序官方不作为,最近1,2年除了常规更新,其他更新早已停更很久很久。
3、由于织梦程序dedecms网站程序的简单上手快,很多新手和小白前期没了解过织梦程序安全这一块,站点上线后连网站的后台目录dede网站文件夹也没改,甚至连默认的管理员账号密码都是默认的,别人随意进入网站的后台搞乱。
Ps:如果你又想安全又不想放弃织梦程序,那就跟着我看下面的教程,动手打造一个安全的织梦程序站点吧,下面的教程只是常规的防范,足以应付那些利用工具扫站和捣乱的小人小屁孩,更深入的安全防护将在下一个教程说织梦程序内核改名和各个网站文件夹权限,一开始太复杂我怕整晕倒你,为了你的身心健康还是先从简单开始吧。
织梦程序CMS安全设置教程
无论你站点现在是被串改、被挂马、被入侵 还是 刚刚才用织梦程序建好的站点,都建议你现在跟着我动手给它打一针预防针,万一疫苗有效呢。
本站所有教程里的图片都会有QQ水印,为了防止被一些小人坏人利用这些原创免费的教程到处骗人骗钱。
该教程略长,而且操作的地方多,建议你多看几遍知道大纲和步骤后再按步骤来操作,做不来可以付费请我来代劳哦,呵~
第一步:备份
1-1、网站的后台-系统-数据库备份/还原,数据备份。
1-2、打包整站下载到你电脑上来,防止被改坏了无法还原回来。打包可以利用主机面板的打包功能,快速又方便。
第二步:最新织梦程序
http://www.dedecms网站程序.com/products/dedecms网站程序/downloads/ [官网] 下载对应编码的最新织梦程序程序包
第三步:删除最新织梦程序程序包那些没用的又容易被挂马入侵的程序网站文件
3-1、删除以下网站文件夹和网站文件
member 会员网站文件夹整个删除
special 专题网站文件夹整个删除
install 安装网站文件夹整个删除
robots.txt 网站文件删除
3-2、删除 /templets/default 官方默认模板这个网站文件夹
3-3、plus 网站文件夹除了以下 1个网站文件夹 和 5个php网站文件,其他的网站文件统统删除
/plus/img (这个网站文件夹)
/plus/count.php
/plus/diy.php
/plus/list.php
/plus/search.php
/plus/view.php
3-4、把 dede 网站的后台网站文件夹改名,改复杂一点,改成爹妈都不认识它。
第四步:修复刚刚下载的织梦程序最新程序包里已知漏洞
4-1、打开 /include/dialog/select_soft_post.php 找到
$fullfilename = $cfg_basedir.$activepath."/".$filename;复制1在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9] $#i', trim($filename))) { ShowMsg("你指定的网站文件名被系统禁止!",'javascript:;'); exit(); } |
4-2、打开 /dede/media_add.php 找到
$fullfilename = $cfg_basedir.$filename;复制1在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9] $#i', trim($filename))){ ShowMsg("你指定的网站文件名被系统禁止!",'java script:;'); exit(); } |
第五步:从第一步的整站备份网站文件夹里检查 模板 和 文档图片网站文件夹 是否有挂马和后门等可疑网站文件或相关具体代码如下
这一步需要一点专业知识,如果你实在不懂,就到群里虚心请教,遇到可疑的地方截图请教别人,慢慢见的后门和木马相关具体代码如下多了,你就离成为大神不远了。
5-1、每一个跟模板有关的js网站文件都要一一打开来细心检查,因为挂马很多在js网站文件中,不然你前面和后面的工作都白做了。
5-2、每一个跟模板有关的css 和 images 网站文件夹下都要细心检查是否有后门网站文件,除了图片网站文件、css网站文件、字体网站文件,其他的一律删除,删错了也不用担心,有整站打包的备份在。
5-3、每一个模板htm网站文件都要细心检查是否有挂马相关具体代码如下存在,检查你的模板网站文件夹里是否有后门网站文件,比如php网站文件,asp网站文件,其他可疑的格式网站文件一律删除,删错了也不用担心,有整站打包的备份在。
5-4、你备份网站文件中的文档图片网站文件夹 uploads 网站文件夹,每一个网站文件夹都要打开,都要细心检查是否有后门网站文件,除了图片网站文件和你的附件,其他的一律删除,删错了也不用担心,有整站打包的备份在。
5-5、/data/common.inc.php 和 /data/config.cache.inc.php 一会配合打包要用到,所以也要检查。
5-6、/include/extend.func.php 可能有二次网站开发的自定义相关具体操作方法在里面,所以也要检查。
5-7、其他你曾经二次网站开发修改过的网站文件。
第六步:把第五步处理过的以下网站文件和网站文件夹复制到你第一步处理过的官方最新程序而且删除和修复漏洞的那个网站文件夹对应的位置里
/data/common.inc.php
/data/config.cache.inc.php
/include/extend.func.php
/templets/你的模板网站文件夹
/uploads
其他你曾经二次网站开发修改过的网站文件
还有可能你的模板关联的css 和 js 和 images图片,这个自己看着办,复制进来后,打包本地整好的网站文件
第七步:清空线上站点所有网站文件,上传本地整好的网站文件包
7-1、把主机里现在站点里的所有网站文件清空,不需要到mysql清除数据哦。虚拟主机的小伙伴可以借助主机面板一键清空,省事又干净。
7-2、把刚刚整理好的最新程序打包上传到主机里解压出来,不需要重新安装哦
7-3、登录站点网站的后台,打开 系统-系统设置-基本参数,点击确认一次,再去生成全站。
第八步:网站的后台-模块-广告管理,检查是否有挂马的广告,如果不用广告模块记得清空所有广告,或者用SQL命令一键批量删除
网站的后台-系统-SQL命令行工具,执行
TRUNCATE myad;TRUNCATE myadtype;复制12
第九步:利用伪静态网站网页功能禁止以下目录运行php脚本
linux主机的用户一般都是apache系统环境,使用 .htaccess 网站文件来设置,如果你站点根目录已经存在这个网站文件,那就复制一下相关具体代码如下添加进去,没有这个网站文件的小伙伴可以下载下来放进去
RewriteEngine on#安全设置 禁止以下目录运行指定php脚本
RewriteCond % !^$RewriteRule a/(.*).(php)$ – [F]RewriteRule data/(.*).(php)$ – [F]RewriteRule templets/(.*).(php|htm)$ – [F]RewriteRule uploads/(.*).(php)$ – [F] |
https://pan.baidu.com/s/1E3QQw6iXg7RZhJ2AsS-KSA.htaccess 网站文件下载
windows主机的用户一般都是iis7、iis8系统环境,使用 web.config 网站文件来设置,请确认你的主机已经开启了伪静态网站网页而且站点根目录有 web.config 网站文件,有这个网站文件的可以复制以下相关具体代码如下添加到对应的rules内,没有这个网站文件的小伙伴可以下载下来放进去
<rule name="Block data" stopProcessing="true"> <match url="^data/(.*).php$" /> <conditions logicalGrouping="MatchAny"> <add input="{USER_AGENT}" pattern="data" /> <add input="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /></rule><rule name="Block templets" stopProcessing="true"> <match url="^templets/(.*).php$" /> <conditions logicalGrouping="MatchAny"> <add input="{USER_AGENT}" pattern="templets" /> <add input="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /></rule><rule name="Block SomeRobot" stopProcessing="true"> <match url="^uploads/(.*).php$" /> <conditions logicalGrouping="MatchAny"> <add input="{USER_AGENT}" pattern="SomeRobot" /> <add input="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /></rule> |
web.config 网站文件下载
https://pan.baidu.com/s/1I24VYxGPezDWgPVdxhzq9Q
Nginx下禁止指定目录运行PhP脚本
注意:这段配置网站文件一定要放在 location ~ .php(.*)$ 的前面才可以生效,配置完后记得重启Nginx生效。
location ~* /(a|data|templets|uploads)/(.*).(php)$ { return 403;} |
宝塔面板的在配置网站文件里找到PhP引用配置
宝塔面板的小伙伴想要一次性给所有站点加这个的话,看下图操作
百度云Nginx虚拟主机,开启伪静态网站网页后,手动添加个 bcloud_nginx_user.conf 放站点根目录
location ~* /(a|data|templets|uploads)/(.*).(php)$ { return 403;} |
第九步尤其重要,如何验证第八步是否生效呢
用 Noptepad 或者 Sublime Text 或者 Dreamweaver 新建一个php网站文件,名为1.php,里面随便打几个数字即可
上传到你站点的 uploads 网站文件夹里,然后在浏览器上打开 http://域名/uploads/1.php
这样提示表示生效了
如果是能正常显示你写的数字,那表示没生效,有风险,想办法让它生效吧。
好了,自己动手做一下织梦程序安全防护或者挂马处理的教程到此结束,有什么地方写的不妥你来打我啊,开玩笑的,不妥的地方还请海涵或者私聊告诉我,多谢。
关于DedeCMS站点程序站点教程相关的知识,就说到这里了希望能帮助朋友们。织梦程序cms熊掌号历史数据提交教程