FavoriteLoading
0

深入研究dedecms织梦网站安全如何防止黑客攻击

用织梦建站的朋友,大部分都有被黑的经历,每每想到此,心中总是一万只草泥马在脑海中奔腾。今天上科互联商学院在此一次性把织梦安全问题总结如下。如有遗漏欢迎在下方评论。

下面我将分站外和站内两个部分来讲解防止织梦dedecms网站被黑的技巧。

一、网站站外安全防护,主要是域名和空间(服务器)的安全

1、域名。域名是网站的入口之一,也是网站被黑的一个切入口,如果域名出了问题,网站就不能打开了。那么怎么保证域名的安全呢?

(1)选择正规靠谱的注册商

(2)域名注册的信息务必如实填写

(3)尽量使用域名商提供的正规DNS解析,慎用免费DNS解析

2、空间服务器安全措施

(1)安全组合:安全狗(服务器及网站防护)+百度云加速(WEB常规防护和访问加速)+百度云观测(网站安全预警和日常监测)

(2)使用云防护工具:建议选择百度云加速

(3)通过ftp来上传、维护网页,尽量不安装其他第三方的上传程序

(4)日常要多维护,并注意空间中是否有来历不明的文件

(5)选择空间商尽量选择比较大的空间商。域名和空间或者服务器最好在一个平台,并做好账户安全设置。

(6)ftp密码尽量设置的复杂点,弱的密码很容易被猜到。

(7)很多空间商提供phpmyadmin管理,在这里提醒各位朋友,请勿将phpmyadmin放到网站根目录。

(8)另外数据库的用户名和密码也设置复杂点,不要用root,root

二、网站站内安全防护

1、打补丁

多关注织梦官方(http://www.dedecms.com/)最新发布的补丁信息,及时打上,一些黑客就是利用这些漏洞进行网站的攻击。

2、 改变织梦data目录位置

data目录用于存放织梦系统一些重要的配置文件与数据,应该予以重点保护。具体操作步骤为:

1)新建一目录用于存放data目录,如shangke,将data目录移动到该目录下。这样data的完整目录变成/shangke/data

2) 修改配置文件include/common.inc.php,找到语句define('DEDEDATA', DEDEROOT.'/data'); 修改为 define('DEDEDATA', DEDEROOT.'/shangke/data');

3、修改后台目录

安装好网站之后第一步就应该修改后台目录,把默认的dede随意改成其他名字,最好是随意英文字母命名的;

4、设置复杂的后台密码

密码应该由大写字母、小写字母和数字组成;

5、安装的时候数据库的表前缀最好改一下,不用dedecms默认的前缀dede_,可以改成其他的名称如bdw_;

6、删除安装文件install:安装后应立即把install文件删除;

7、不用会员系统,就把member整个文件夹全部删除;

8、用不到留言本,就把plus下的guestbook文件删除;

9、不用下载功能,就把管理目录下的soft__xxx_xxx.php删除;

10、如果是使用HTML,可以把plus下的相应文件和根目录下的index.php删除;

11、不用专题功能可以把special文件夹删除;

12、用不到企业模块可以把company文件夹删除;

13、不用下载发布功能可以把管理目录下soft__xxx_xxx.php删除;

14、删除后台的文件式管理器:通过后台的文件式管理器,可以修改网站的任何文件,为了安全,建议把管理目录下file_manage_xxx.php删除;

15、如果不需要SQL命令运行器的可以把管理目录下的sys_sql_query.php删除;

16、另外一些用不到的文件都删除,还可以把数据库里面不用的表删除掉;

17、将data、templets、uploads、html、images目录设置为不允许执行脚本。这个一般空间商都有提供设置,如果是独立服务器那么设置更容易。

18、data下的common.inc.php文件请设置为只读模式。

19、data目录下的mysql_error_trace.inc 这个文件是记录错误的,也很容易暴露后台地址,建议将此文件清空并设置为只读模式。

20、在模板文件中尽量不要使用{dede:global.cfg_templets_skin/},也不要将images和css文件放到模板目录中去读取,这样可以暴露你的模板目录,轻而易举将您的模板文件拷贝出去。