一个顾客朋友的织梦系统出了问题,被黑客挂上了黑页,网站经常出问题,确实挺棘手的。为了让更多dede的站长朋友的网站不受hack困扰,今天就分享一下DEDECMS全套的安全设置思路:
为什么会有那么多漏洞频繁出现,因为dedecms是常见的PHP开源系统,开源了就有人研究0day(只为公开的BUG漏洞等)。
那么怎样优化设置,让安全系数达到最高呢?
下面一一道来:
一、敏感目录的处理
1.默认后台dede文件夹改名为 你想要的后台 如 new_2015admin
2.install安装文件夹删除,以防止被攻击者二次利用
3.member文件夹,如果不用会员功能可以删除或者后台关闭会员功能。
4.plus目录下download.php、guestbook.php、mytag_js.php、search.php等风险文件删除
二、管理员账号安全
1.默认管理员用户名最好不要使用默认的admin可以用自己的 比如yangyang
2.管理员的密码要复杂一些,数字+字母+特殊符号 比如yangyang_123456_!@#$
3.管理员的密码不要使用平时常用的密码,比如qq密码比如银行密码等 容易被猜解到。
三、网站后台设置
1.后台登录开启验证码功能,防止暴力破解密码。
2.后台数据库经常备份并下载到本地,然后再删除备份
一般在/data/backupdata/目录下
为什么要删除?因为txt是能直接下载的。
3、后台首页更新dede版本和安全补丁
官方的补丁或多或少有一些帮助滴
三、网站php防注入系统的搭建(重中之重)
分两种情况:
一有远程主机权限的,可以安装安全狗防护软件。
二虚拟主机(大多数小伙伴)
自己动手配置php防注入。
将360safe文件夹和360_safe3.php放到根目录下
然后打开dedecms配置文件 /data/common.inc.php
加入以下红色代码即可
<?php
require_once($_SERVER['DOCUMENT_ROOT'].'/360_safe3.php');
if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){
require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');
}
//数据库连接信息
$cfg_dbhost = 'localhost';
$cfg_dbname = '你的数据库名';
$cfg_dbuser = '你的数据库用户';
$cfg_dbpwd = '你的数据库密码';
$cfg_dbprefix = 'dede_';
$cfg_db_language = 'gbk';
?>
成功后会看到如图:
