原文来自:https://www.zixuephp.com
织梦安全设置防止挂马
在快速建站系统中,织梦cms是首选,织梦cms依它简单,方便,技术门槛低易于上手而为大家普遍推崇,但是他也有自己的缺陷,安全性差,程序时常曝出漏洞,网站容易被攻击挂马,虽然我们不能从根本上解决这个问题,但是可以尽可能的再织梦的基础上操作,提高程序的安全性,下面我们就来一起看下如何进行织梦安全设置.
1、用户名,密码复杂性,即使hack拿到密码也不容易逆转破解,后台目录务必重命名,越复杂最好,关注官方网站,跟相应的杀毒软件,定时修补补丁,定时查杀多余php文件.
2、后台设置,删除多余会员,关闭会员功能,系统基本参数-会员设置,互动设置等限制;
3、精简设置,不需要的功能都删掉,每个目录下加一个空的index.html,防止目录被访问,可删除的功能,member,special,install(必删),company(企业模块),plus\guesbook留言板等一般用不上的功能;
4、可以删除不必要但容易受攻击的文件(再文件夹下搜索即可):file_manage_control.php,file_manage_main.php,file_manage_view.php,media_add.php,media_edit.php,media_main.php,download.php(没有下载功能),feedback.php(评论功能)这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的,它简直就是小型挂马器,上传编辑木马忒方便了,一般用不上统统删除).
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除,避免HACK利用.
不需要tag功能请将根目录下的tag.php删除,不需要顶客请将根目录下的digg.php与diggindex.php删除.
5、为了防止HACK利用发布文档,上传木马,请安装完成后阻止上传PHP代码,到此基本堵上了所有上传与编辑木马的可能性,在5.0以上的版本本身已经作好修改了,这点经测试比较过的.
6、织梦权限设置,
1>include,plus,member等附加组件,可读取 不可写入 执行脚本(纯脚本)
data、templets、uploads,images 可读写 不可执行(执行权限无)
2>设置iis权限,去掉user权限,自己设置一个权限,目录设置、不允许执行脚本.
7、织梦关闭自定义表单前台预览,删除友情链接申请功能,网站提交登陆一定要有验证码,防止hack暴力破解,提交.
8、也可以使用第三方安全插件:如360网站卫士,DedeCms万能安全防护代码等.
注意事项:
服务器篇:安装安全软件,木马查杀软件定期查杀.
数据库安全:定期备份数据库与程序模板,出现问题即使恢复,数据库一个网站一个用户名密码,互补影响.
空间注意篇:有些人使用的空间,请把空间的CP与FTP密码妥善保存,并且密码一定要复杂,如果自己的服务器就要靠自己了.