源码基地

 找回密码
 马上注册

QQ登录

只需一步,快速开始

新浪微博登陆

只需一步, 快速开始

查看: 51222|回复: 99

DEDECMS网站安全设置防止dede程序被入侵挂马

  [复制链接]

新浪微博达人勋

  • TA的每日心情
    慵懒
    2019-8-19 13:12
  • 签到天数: 108 天

    [LV.6]常住居民II

    发表于 2014-5-28 18:41 | 显示全部楼层 |阅读模式
    在DEDECMS最新的5.7版本和5.7SP1版本后台都有个安全检测,data目录如果使用默认的名称,那么DEDE系统的安全肯定会大打折扣。相信大家都看到这样的提示:强烈建议将data目录搬移到Web根目录以外,查看如何搬迁。4 H5 ]+ V6 Y3 M) O9 K
    - ]$ ^! y7 Z& i
    但是对于虚拟主机来说,有些虚拟主机限制,不给移动到web目录以外,那么为了最大限度的减少网站被攻击的可能,我们可以将data目录改名,这样也进一步减少了攻击的可能。具体操作如下:1 A1 \- D, d9 r8 i1 b' }3 m

      o4 M+ n+ z- x1 u( p8 O1、修改include目录下的common.inc.php这个文件。打开文件,找到第16行:7 _$ b. B, t, g* f$ L  V
    * L, G, ^0 w9 v3 g7 g
    define('DEDEDATA', DEDEROOT.'/data');  把data修改成为您要改的目录名,如:改为asdfg,那么则改为:
    " L% K$ L* C  N* F' y5 z5 i; Q6 q) V; x2 h% ^
    define('DEDEDATA', DEDEROOT.'/asdfg');2、用FTP把data目录改名asdfg,也就是跟第一步改的文件名一样。1 h3 ^* B0 w# J5 L

    ) \+ n+ d& \' B: w: ]' g( @3、在网站后台,系统-系统基本参数-性能选项,“模板缓存目录:”改为:/asdfg/tplcache。
    ' _  P" t- M/ B- Z! _5 `, v1 \( s. n  w
    这样就基本改完成了,不过现在还有些问题。打开网站目录你会发现,自己跳到安装文件了。不用急,修改一下网站根目录的index.php这个文件,把文件最前面的几行注释掉,注释如下,也就是在代码前面加//:2 ?, N! W1 p+ y. D

    : L. U2 _/ K9 v. n: B  s3 x//if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
    7 C* _) q1 O  D* b3 Q9 C' N3 B# D. C3 J
    //{( \1 o9 ?/ [6 G) |8 x& N  c3 V8 o
    5 Z/ D. |7 K% P5 B! B& _2 q; C
    //header('Location:install/index.php');
    ! H2 Q) A& A7 H* a1 ~9 B* l! N- H8 v7 m
    //exit();/ o1 D9 u" ?2 z9 y3 C
    ) ^+ ^5 J" e3 H+ v7 _, @0 F
    //}
    0 ^7 c# P$ [; Q% w# U+ g5 t! k1 k/ |
    这样,你的网站就可以正常打开了。在后台更新的时候,还是有问题,网站地图跟RSS、JS这几项更新有问题,那么我们只需要在网站根目录下新建个data目录,然后data目录下再分别新建rss和js两个目录,这样就可以了,再更新一下看看,是不是都正常了呢?) N* X4 ^5 h0 S3 \/ q* {

      M& O4 F9 P& K8 X! y注:上面提到的更改目录为asdfg,其中asdfg可以自由更换成你想要的目录名称。, p  _0 h/ e7 m( W2 ^$ {3 A- e

    ; I, R" ^7 U3 r- |& d4 KDEDE(织梦)对外发包或网站被挂马问题解决6 u# D! O/ V$ I- A) {7 a
      B9 j4 p; I9 M8 ~( F. v/ h
    第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。
    0 C8 D: k' O, d6 S, p+ @第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。7 X8 q# _2 y! c3 R8 g
    第三、装好程序后务必删除install目录) e  T* a2 e) b7 p; d$ ~
    第四、将dedecms后台管理默认目录名dede改掉。' c$ h" q7 a4 V
    第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。# [% s5 `" E* ~1 I
    第六、以下一些是可以删除的目录:
    . A" n7 [  Q' ?# L5 p$ c4 m, m/ kmember会员功能0 d# T0 p, ?7 R! k
    special专题功能
    ; |6 b8 r  g  W0 i. z* T; @/ Zcompany企业模块; e& }+ y6 j2 J# K
    plus\guestbook留言板! i0 ?: |+ s0 O- t) Y6 M. D9 _- ]
    ; m7 Q' c& D' g% m8 P

    ( L! f( l5 I$ p+ @1 l9 D. F删除以下文件:
    ) z$ j. X, P8 I- f) x+ l/plus/mytag_js.php
    6 u6 f. Y5 x0 C  O( K- o9 s2 m/plus/ad_js.php# a  h8 b1 i( [8 e- o: r
    /plus/feedback_js.php4 c8 l5 J) ?* L) z( p
    " t8 Z' X: Z1 m
    以下是可以删除的文件:7 ?4 z+ N, B! n( o
    管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
    + D  d5 E0 W5 z: g2 y! {$ ^' hfile_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php
    ; J7 \5 q' D+ S* G/ K2 O1 Q2 K4 `' n( v2 u
    再有:% N) U! W0 v5 p/ ?0 W* e+ S  I; I, K
    不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
    $ u; h) J$ D( n不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。. a; j' {2 b/ r0 Z$ i

    6 J% W  o' d$ B$ m: N* I  _* q/ X第七、多关注dedecms官方发布的安全补丁,及时打上补丁。& r, w- _6 m* b0 Y
    第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.5 t% K6 s1 ~. {8 e  f" M6 z
    第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看., q8 [9 R; {- {+ `
    第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。" Y3 T; }' y( [& i* {
    十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据。' m& D# J5 p* _% W


    回复 天涯海角搜一下: 百度 谷歌 360 搜狗 搜搜 有道 奇虎 雅虎 必应 即刻

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-28 18:48 | 显示全部楼层
    我只是路过打酱油的。
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-29 01:16 | 显示全部楼层
    支持楼主,用户楼主,楼主英明呀!!!
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-29 01:30 | 显示全部楼层
    支持一下
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-29 04:47 | 显示全部楼层
    楼下的接上
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 01:26 | 显示全部楼层
    元芳你怎么看?
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 02:41 | 显示全部楼层
    不知该说些什么。。。。。。就是谢谢
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 05:37 | 显示全部楼层
    佩服佩服!
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 08:38 | 显示全部楼层
    顶顶更健康
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 09:26 | 显示全部楼层
    真是 收益 匪浅
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 马上注册 新浪微博登陆

    本版积分规则

    关闭

    站长推荐上一条 /5 下一条

    Archiver|VIP商业源码|企业网站源码|建站之星模板|DEDE模板|新闻中心|源码基地 ( 黔ICP备19007148号 )|网站地图

    GMT+8, 2019-8-19 21:55 , Processed in 0.328125 second(s), 27 queries , Gzip On, File On.

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表