WonderCSS

织梦技巧之DedeCMS安全设置

DedeCMS-Security-Settings

织梦DedeCMS算是国内CMS类网站使用最多的WEB程序了,先对于其他CMS程序来说它的优点无需多说,上手容易再次开发可能性高,但其弱点也很明显,其中之一那就是网站安全性。或许你已经中招过,比如网站被挂上木马、链接恶意转向等问题,那么今天我们就浅谈一下常见的 DEDECMS 安全设置。

主要 DEDECMS 安全设置

1、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险。

2、安装织梦系统后,登录管理后台不要用 admin 为用户名,要知道黑客大规模恶意破解网站管理员密码时,admin这种常见管理员名称是第一目标。

3、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。

4、针对uploads、data、templets 三个目录做执行php脚本限制。

5、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。

6、对于是用的模板,出于放盗问题尽量利用自定义宏标记来设置DedeCMS模板。

7、用最新版的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

8、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。(推荐:删除member 会员文件夹 不用会员系统)

如何在虚拟主机/空间配置目录执行php脚本限制的方法

对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置。在这里我们仅介绍 Apache 和 nginx 的两种配置方法。

在 Apache 环境下需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。


RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ –[F]

nginx 环境下执行 php 脚本限制

LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。

首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:


location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
deny all;
}

以上,对于运营网站的站长们一定要对网站的安全性多下工夫,因为若忽视它很有可能让你的百般心思功亏一篑,尤其用dedecms建站的朋友们更值得花点时间去设置一下网络安全。

By 于湛 发布于 2013.05.10 14,255 次浏览

织梦技巧之DedeCMS安全设置》上有1条评论

  1. HackersAnts

    无论怎么设置DEDECMS这个套系统还是不安全,就看对手是不是真想黑你了。

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注