首页 > 南京SEO > 扬扬教你如何让dedecms织梦网站不中黑客木马?

8401

浏览

2

评论

扬扬教你如何让dedecms织梦网站不中黑客木马?

作者:yangyang | 分类:南京SEO | 标签: web安全

在这春暖花开之际,一个顾客朋友的织梦系统出了问题,被黑客挂上了黑页,网站经常出问题,确实挺棘手的。为了让更多dede的站长朋友的网站不受hack困扰,扬扬今天就分享一下DEDECMS全套的安全设置思路:

为什么会有那么多漏洞频繁出现,因为dedecms是常见的PHP开源系统,开源了就有人研究0day(只为公开的BUG漏洞等)。

dedecms漏洞

上图能看到漏洞是千变万化的,我们防不胜防。

那么怎样优化设置,让安全系数达到最高呢?

下面听扬扬一一道来:


一、敏感目录的处理

1.默认后台dede文件夹改名为 你想要的后台 如 yangyang_2015admin

2.install安装文件夹删除,以防止被攻击者二次利用

3.member文件夹,如果不用会员功能可以删除或者后台关闭会员功能。

4.plus目录下download.php、guestbook.php、mytag_js.php、search.php等风险文件删除


二、管理员账号安全

1.默认管理员用户名最好不要使用默认的admin可以用自己的 比如yangyang

2.管理员的密码要复杂一些,数字+字母+特殊符号 比如yangyang_123456_!@#$

3.管理员的密码不要使用平时常用的密码,比如qq密码比如银行密码等 容易被猜解到。


三、网站后台设置

1.后台登录开启验证码功能,防止暴力破解密码。

2.后台数据库经常备份并下载到本地,然后再删除备份

一般在/data/backupdata/目录下 

为什么要删除?因为txt是能直接下载的。

DCYV_QD7G1T%L@A6)X}E)WE.png

3、后台首页更新dede版本和安全补丁

6A_UHSWSOAAZ$X1R$$3XD@3.jpg

官方的补丁或多或少有一些帮助滴


三、网站php防注入系统的搭建(重中之重)

分两种情况:

一有远程主机权限的,可以安装安全狗防护软件。

二虚拟主机(大多数小伙伴)

自己动手配置php防注入。

522OT9@9E~0P`G(O8DNN75U.png

将360safe文件夹和360_safe3.php放到根目录下

防注入文件下载:dede-php-sql.rar

然后打开dedecms配置文件  /data/common.inc.php

加入以下红色代码即可

<?php

require_once($_SERVER['DOCUMENT_ROOT'].'/360_safe3.php');

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

    require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

}


//数据库连接信息

$cfg_dbhost = 'localhost';

$cfg_dbname = '你的数据库名';

$cfg_dbuser = '你的数据库用户';

$cfg_dbpwd = '你的数据库密码';

$cfg_dbprefix = 'dede_';

$cfg_db_language = 'gbk';

?>

成功后会看到如图:

O{C800(3RG7LMPJXFY_K9ML.png

大功告成。

以上方法是我个人经验所写,以后会陆续更新完善,希望对大家有帮助!


原创不易,本文由扬扬SEO工作室原创,转载请注明出处!






本文链接:http://www.yyyseo.net/?id=54
原创文章如转载请注明:转载自扬扬SEO工作室谢谢!

  • 发表评论
  • 查看评论:(2)
【已经有2位大神发现了看法】

访客  2015-03-19 16:03:06 回复该评论
不错的文章支持南京SEO
访客  2015-03-02 11:47:52 回复该评论
不错哦
导航 : 南京SEO SEO教程
Power By Z-BlogPHP 1.3 Wonce Build 140614
Copyright © 2014-2022 yyyseo.net. All Rights Reserved. 扬扬工作室 版权所有