dedecms安全设置详解,全面安全配置禁用php,删除

分类: dedecms教程 网址:http://www.799net.com
次浏览 收藏 2017-11-07 11:06

  dedecms是一款便捷的快速建站CMS,因其良好的收录效果,和丰富的模板标签,成为草根站长建站不可缺少的建站工具。但是dedecms暴露的安全问题却或多或少给我们带来了不少麻烦,以下是针对一些新手站长总结的dedecms的一些安全设置。

  

  1、安装dedecms的表前缀,尽量不要用dedecms默认的数据表前缀dede_,可以任意修改成自己命令的前缀。

  

  2、后台登录开启验证码功能,将默认的登录后缀dede目录改掉,可以修改成复杂的地址,可以加上一些@之类的符号。

  

  3、将默认的后台管理员登录名admin修改,密码尽量设置复杂一些。

  

  4、安装后必定删除install目录

  

  5、不需要用到的功能一律关闭或者删除,如不用到会员禁用,评论关闭,上传。

  

  6、删除一些目录和功能(如果用不到的话,根据自己的情况)

  

  member会员功能 (企业站一般不用)

  

  special专题功能

  

  company企业模块

  

  plusguestbook留言板

  

  7、可以删除的文件

  

  管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的

  

  file_manage_control.php

  

  file_manage_main.php

  

  file_manage_view.php

  

  media_add.php

  

  media_edit.php

  

  media_main.php

  

  不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

  

  不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

  

  8、下载发布功能(管理目录下softxxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的。

  

  9、大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件;

  

  10、禁止权限,目前data、uploads有执行.php权限,非常危险,需要立即取消目录的执行权限。很多人都不知道如何去禁止文件,

  

  具体方法:我们可以用 .htaccess 文件,具体生成方式可以百度一下。里面写上代码

  

  RewriteEngine on  RewriteCond % !^$

  

  RewriteRule uploads/(.*).(php)$ – [F]

  

  RewriteRule data/(.*).(php)$ – [F]

  

  RewriteRule templets/(.*).(php)$ – [F]

  

  写完后传到根目录

  

  11、目录权限:网站的最高权限为755,一般不要设置为777。强烈建议   data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT);


我要评价

共有人阅读,0人评价,期待你的评论!发表评论
昵称: 网址: 验证码: 点击我更换图片
最新评论
admin
最近登录:2017-11-29
  • 次浏览
  • 收藏
  • 0赞一下