WonderCSS

DEDE程序漏洞导致的DDOS攻击解决办法

记得郭德纲相声里曾经说过,同行间才是赤裸裸的仇恨!这真心不假啊,一段时间内我们公司的服务器其被同行频繁攻击,各种DDOS各种挂马,真心闹不住了。说到底还是坑爹的织梦DEDECMS安全性太差,下面就记录下新搭建一个织梦网站必做的事情,用意提升服务器安全,尤其是防范DDOS攻击的方法:

DEDECMS-DDOS-Security

1,织梦后台管理目录:后台管理目录(初始为dede那个文件夹)每隔一段时间都要修改一次,尽量辅助啊,这样可以让菜鸟级黑客们下手难度增加。如果你的网站很长时间不打算打理,干脆将文件夹从网站目录中转移出去。

2,FTP 网站管理密码:FTP密码和网站管理密码建议经常修改,因为很多黑客都在用暴力破解密码,把密码改的复杂些尽量掺杂着特殊符合和字母大小写混用来提高安全性。

3,不用的端口最好关掉:你可以用服务器本身的端口过滤功能,也可以用一些服务器管理软件,对服务器不用的端口进行关闭。

4,查找一下服务器的隐藏账户:这个比较麻烦,有的隐藏账户很难处理干净!

5,一些文件的权限:把根目录下的index.php,tag.php等设置成只读,并且把所有的模板文件设置成只读格式。

6,dedecms目录的安全设置:data/cache/、templets、uploads 目录设置可读写,不可执行权限。include、member、plus设置可读 可执行 不可写权限,由于dedecms并没有任何地方使用存储的过程,因此可以禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。其中假如member等目录对你没有用处的话,最好把目录名字改掉。

7,网站程序安全:这也是最根本的防范,最好及时更新dede的版本,跟上官方的最新版,当然你也可以找一些高手把程序优化的更符合你的安全需求。

8,dedecms模板的安全隐蔽性:在制作模板时尽量不要使用{dede:global.cfg_templets_skin/}语句,这样很容易暴露你的模板路径,做好模板的防盗是很必要的,详细请看《利用自定义宏标记为 DedeCMS 模板防盗》这篇文章。

最后还是有必要说下,如果可以的话一些优化站完全可以使用wordpress来搭建,相对于DEDECMS来说wordpress有更好的安全性与易用性,虽然在CMS类制作中wordpress需要更多的开发时间,但成果也是不同的!

By 于湛 发布于 2013.09.23 11,516 次浏览

DEDE程序漏洞导致的DDOS攻击解决办法》上有2条评论

  1. 诸葛小觉

    公司的网站就是DEDE搭建的,不过程序都放在线下生成,然后上传文件到主机的,估计这是最稳妥也是最麻烦的一项操作了

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注