DEDECMS織夢內容管理系統安全設定(防範網站注入掛馬)
阿新 • • 發佈:2019-01-20
“dede”太脆弱了,早不用早解脫”,“DEDE安全嗎,怎麼總是被入侵掛馬? ”,“天,怎麼回事,又被掛馬了”經常能碰到這樣的抱怨。不“人云亦云”這是無憂主機(www.51php.com)一貫的觀點。如果織夢網站管理系統(dedeCMS),真的那麼脆弱,那麼容易被掛馬,那為什麼還那麼多人選擇使用它?據我所知,dede管理系統是有非常多的使用者群體的。“網站沒有絕對的安全,只有勤勞的站長”我在“無憂主機教你如何使用joomla安全建站(防黑)”一文中講了很多關於建站要注意的網站安全設定經驗,你可以閱讀借鑑它。你有抱怨的時間,還不如仔細檢查下自己的網站是否做好了安全防範措施。
下面我將要告訴一個勤勞、智慧的站長安裝完dede系統後必須要做的事情:
1、 修改DEDE預設的網站後臺管理地址,請一定要將/dede,目錄改名,並且為複雜使用者名稱,並記住它。眾所周知,dede預設管理後臺都是,“域名/dede”,黑客是最新喜歡這種不修改預設登入地址的網站了,多省事。
2、 請直接刪除“install”目錄,留著無用,而且還有會禍害網站安全,刪了吧!刪除系統安裝程式,這個操作時安裝所有php開源程式的共性,如joomla安裝完畢後,如果不刪除安全目錄(installation)是無法開啟網站首頁的,我認為DEDE官方開發團對可以借鑑這個經驗。
3、 Dede安裝前你是否計劃過,你需要dede的那些功能系統?如果你沒有?那麼現在就開始,將不需要的功能系統都刪除,在這裡我引用前文“Joomla!建站SEO優化誤區(joomla建站seo建議)”中的一段話“簡化你的網站模板,減少網站功能”,功能最小化安裝使用dede系統(在滿足自己需求前提下),是你安全使用dedecms系統的前提。所有PHP開源程式安全設定都有相通之處,要學會舉一反三。你不妨可以學習本站其它開源系統的網站安全設定經驗。
下面是我整理出的一些dede站點目錄的位置,如果你不熟悉dedecms系統站點目錄結構你可以參照設定:
/member 會員功能模組
/special專題功能
/install安裝程式
/company企業功能模組
/plusguest/book 留言板
其它模組,也可以不要就刪除它,上面紅色標記的,我已經在無憂php空間安裝並做了測試確認可以直接刪除,不會影響dede正常執行,其餘的檔案使用者可以參考官方文件操作。最好是在安裝DEDE系統前有計劃的,選擇不安裝,省掉後期的麻煩。我再次特別強調/install安裝程式,強烈刪除它。
4、 密碼一直是我很揪心的問題,我在前面寫joomla開源cms系列文件中都特別多次強調過,強壯密碼,一定需要一個強壯的密碼才能起到保護網站安全的作用,否則就是一個災難。如果黑客通過注入,獲取到管理員密碼的MD5加密程式碼,然後反向編譯MD5程式碼,是不是會瞬間瓦解你的網站?所以,請設定一個強壯的密碼吧,強壯到讓它無法反向編譯你的密碼。請不要小覷了黑客通知的實力。
5、 黑客同志最喜歡的目錄?
黑客同志最喜歡的目錄,就是dede管理員目錄/dede,dedecms後臺的檔案管理器就在這裡,這裡經常被黑客同志所利用,用它來掛馬,這也就是為什麼在本文第一條就要強調要修改dede的網站管理地址的原因。黑客可以利用如下紅色字型檔案,進行上傳木馬。這也是黑客為什麼樂此不疲的不斷尋找dede後臺管理地址的原因了。
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php media_edit.php
media_main.php
請刪除紅色字型檔案一切為了安全。無憂主機(www.51php.com)在測試掛馬注入點的時候,還發現dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的網馬注入點,使用者可以根據網站需要刪除。這些都是黑客喜歡利用、掛馬的檔案。其中DEDE後臺的SQL命令執行器,是我們常忽視的地方,如果不常用,或根本不用,毫不猶豫刪除它。
6、 拿來主義,網上流傳的經典防黑客注入方法(DEDE防注入兩方法)
一是將每個目錄新增空的index.html,防止目錄被訪問;
二是給做好網站301頁面、403頁面、404頁面可以禁止訪問某頁或某檔案。
上面的方法無憂主機沒有經過測試,不知是否有效,如果你正在使用或測試可行,你可以與我們交流,分享你的成功。
7、 php虛擬主機的選擇。我在joomla安裝前的準備工作中提到,“php語言開發的系統,最好的架設平臺是Linux系統”,也只有Linux才能完美髮揮出php加MySQL的效率,而且,linux作業系統受到病毒影響機率要遠遠小於windows系統的php空間。無憂主機是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署,完美支援織夢網站管理系統(dedeCMS)的php虛擬主機。點選檢視dede系統演示平臺
8、 織夢網站網站內容管理系統(dedecms)開發團體也在不斷關注產品使用者的體驗度、產品的安全、穩定、bug、等問題,請使用者及時從官方網站(www.dedecms.com)獲取最新的版本,和升級補丁。讓織夢繫統,為我們站長編織一張美麗的網賺之路
下面我將要告訴一個勤勞、智慧的站長安裝完dede系統後必須要做的事情:
1、 修改DEDE預設的網站後臺管理地址,請一定要將/dede,目錄改名,並且為複雜使用者名稱,並記住它。眾所周知,dede預設管理後臺都是,“域名/dede”,黑客是最新喜歡這種不修改預設登入地址的網站了,多省事。
2、 請直接刪除“install”目錄,留著無用,而且還有會禍害網站安全,刪了吧!刪除系統安裝程式,這個操作時安裝所有php開源程式的共性,如joomla安裝完畢後,如果不刪除安全目錄(installation)是無法開啟網站首頁的,我認為DEDE官方開發團對可以借鑑這個經驗。
3、 Dede安裝前你是否計劃過,你需要dede的那些功能系統?如果你沒有?那麼現在就開始,將不需要的功能系統都刪除,在這裡我引用前文“Joomla!建站SEO優化誤區(joomla建站seo建議)”中的一段話“簡化你的網站模板,減少網站功能”,功能最小化安裝使用dede系統(在滿足自己需求前提下),是你安全使用dedecms系統的前提。所有PHP開源程式安全設定都有相通之處,要學會舉一反三。你不妨可以學習本站其它開源系統的網站安全設定經驗。
下面是我整理出的一些dede站點目錄的位置,如果你不熟悉dedecms系統站點目錄結構你可以參照設定:
/member 會員功能模組
/special專題功能
/install安裝程式
/company企業功能模組
/plusguest/book 留言板
其它模組,也可以不要就刪除它,上面紅色標記的,我已經在無憂php空間安裝並做了測試確認可以直接刪除,不會影響dede正常執行,其餘的檔案使用者可以參考官方文件操作。最好是在安裝DEDE系統前有計劃的,選擇不安裝,省掉後期的麻煩。我再次特別強調/install安裝程式,強烈刪除它。
4、 密碼一直是我很揪心的問題,我在前面寫joomla開源cms系列文件中都特別多次強調過,強壯密碼,一定需要一個強壯的密碼才能起到保護網站安全的作用,否則就是一個災難。如果黑客通過注入,獲取到管理員密碼的MD5加密程式碼,然後反向編譯MD5程式碼,是不是會瞬間瓦解你的網站?所以,請設定一個強壯的密碼吧,強壯到讓它無法反向編譯你的密碼。請不要小覷了黑客通知的實力。
5、 黑客同志最喜歡的目錄?
黑客同志最喜歡的目錄,就是dede管理員目錄/dede,dedecms後臺的檔案管理器就在這裡,這裡經常被黑客同志所利用,用它來掛馬,這也就是為什麼在本文第一條就要強調要修改dede的網站管理地址的原因。黑客可以利用如下紅色字型檔案,進行上傳木馬。這也是黑客為什麼樂此不疲的不斷尋找dede後臺管理地址的原因了。
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php media_edit.php
media_main.php
請刪除紅色字型檔案一切為了安全。無憂主機(www.51php.com)在測試掛馬注入點的時候,還發現dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的網馬注入點,使用者可以根據網站需要刪除。這些都是黑客喜歡利用、掛馬的檔案。其中DEDE後臺的SQL命令執行器,是我們常忽視的地方,如果不常用,或根本不用,毫不猶豫刪除它。
6、 拿來主義,網上流傳的經典防黑客注入方法(DEDE防注入兩方法)
一是將每個目錄新增空的index.html,防止目錄被訪問;
二是給做好網站301頁面、403頁面、404頁面可以禁止訪問某頁或某檔案。
上面的方法無憂主機沒有經過測試,不知是否有效,如果你正在使用或測試可行,你可以與我們交流,分享你的成功。
7、 php虛擬主機的選擇。我在joomla安裝前的準備工作中提到,“php語言開發的系統,最好的架設平臺是Linux系統”,也只有Linux才能完美髮揮出php加MySQL的效率,而且,linux作業系統受到病毒影響機率要遠遠小於windows系統的php空間。無憂主機是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署,完美支援織夢網站管理系統(dedeCMS)的php虛擬主機。點選檢視dede系統演示平臺
8、 織夢網站網站內容管理系統(dedecms)開發團體也在不斷關注產品使用者的體驗度、產品的安全、穩定、bug、等問題,請使用者及時從官方網站(www.dedecms.com)獲取最新的版本,和升級補丁。讓織夢繫統,為我們站長編織一張美麗的網賺之路