如何让dedecms织梦网站不中黑客木马?

手册/FAQ (426) 2015-10-14 13:38:40

一个顾客朋友的织梦系统出了问题,被黑客挂上了黑页,网站经常出问题,确实挺棘手的。为了让更多dede的站长朋友的网站不受hack困扰,今天就分享一下DEDECMS全套的安全设置思路:

为什么会有那么多漏洞频繁出现,因为dedecms是常见的PHP开源系统,开源了就有人研究0day(只为公开的BUG漏洞等)。

那么怎样优化设置,让安全系数达到最高呢?

下面一一道来:

 

一、敏感目录的处理

1.默认后台dede文件夹改名为 你想要的后台 如 new_2015admin

2.install安装文件夹删除,以防止被攻击者二次利用

3.member文件夹,如果不用会员功能可以删除或者后台关闭会员功能。

4.plus目录下download.php、guestbook.php、mytag_js.php、search.php等风险文件删除

二、管理员账号安全

1.默认管理员用户名最好不要使用默认的admin可以用自己的 比如yangyang

2.管理员的密码要复杂一些,数字+字母+特殊符号 比如yangyang_123456_!@#$

3.管理员的密码不要使用平时常用的密码,比如qq密码比如银行密码等 容易被猜解到。

三、网站后台设置

1.后台登录开启验证码功能,防止暴力破解密码。

2.后台数据库经常备份并下载到本地,然后再删除备份

一般在/data/backupdata/目录下 

为什么要删除?因为txt是能直接下载的。

3、后台首页更新dede版本和安全补丁

官方的补丁或多或少有一些帮助滴

 

三、网站php防注入系统的搭建(重中之重)

分两种情况:

一有远程主机权限的,可以安装安全狗防护软件。

二虚拟主机(大多数小伙伴)

自己动手配置php防注入。

将360safe文件夹和360_safe3.php放到根目录下

然后打开dedecms配置文件  /data/common.inc.php

加入以下红色代码即可

<?php

require_once($_SERVER['DOCUMENT_ROOT'].'/360_safe3.php');

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

    require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

}

 

//数据库连接信息

$cfg_dbhost = 'localhost';

$cfg_dbname = '你的数据库名';

$cfg_dbuser = '你的数据库用户';

$cfg_dbpwd = '你的数据库密码';

$cfg_dbprefix = 'dede_';

$cfg_db_language = 'gbk';

?>

成功后会看到如图:

THE END