酷源码-帝国cms模板及插件下载交流论坛

×

用户登录

  1. 用户名:
  2. 密    码:
  3. 注册

百度快速排名1-7天上首页
帝国cms插件定制开发
★香港+美国BGP服务器★
香港+美国BGP服务器
帝国cms小程序定制开发
帝国cms建站定制开发
文字广告位出租10点/天
文字广告位出租10点/天
文字广告位出租10点/天
文字广告位出租10点/天
文字广告位出租10点/天
文字广告位出租10点/天
文字广告位出租10点/天
文字广告位出租10点/天
文字广告位出租0点/天

查看: 回复:0

dedecms安全防护设置经验总结

 

2764

主题

2764

帖子

1

积分

管理员

版主

积分
1
登陆

Warning: Illegal string offset 'loginnum' in /www/wwwroot/kyuanma.com/e/data/tmp/dt_temptext13.php on line 257
私信
注册时间

Warning: Illegal string offset 'registertime' in /www/wwwroot/kyuanma.com/e/data/tmp/dt_temptext13.php on line 261

Warning: date() expects parameter 2 to be long, string given in /www/wwwroot/kyuanma.com/e/data/tmp/dt_temptext13.php on line 261
最后登陆时间

Warning: Illegal string offset 'lasttime' in /www/wwwroot/kyuanma.com/e/data/tmp/dt_temptext13.php on line 263

Warning: date() expects parameter 2 to be long, string given in /www/wwwroot/kyuanma.com/e/data/tmp/dt_temptext13.php on line 263
楼主
发表于 2020-09-30 08:39:47
跳转
根据自己的测试,和参考了一些高手的文章,我总结了下,dedecms的安全防护要做那些设置。

  一、dedecms后台账号和密码的修改,这个问题我相信很多站长都知道它的重要性,这里我就不多说了。下面说下修改的3种方法。

  1、在安装dedecms程序的过程中,我们把默认的管理员账号和密码修改下,不要用默认的密码。密码长度最好是在8位以上。密码设复杂一些。

  2、安装的过程中如果不想做修改,那我们还可以在安装完成后在后台的系统设置—系统用户管理中修改自己的密码。这里后台的用户名不能做出修改。

  3、后台的用户名我们可以在数据库的dede_admin字段中修改,数据库中我们同样也可以修改后台的密码。

  二、安装完dedecms程序之后,我们一定要把更目录的install文件夹删除。这个目录在我们安装完dedecms之后就没的什么用了,但是这个文件的存在还是一个很大的漏洞。

  三、管理目录,就是根目录的dede文件夹,这个文件夹的名称一定要做出修改,最好是形成MD5形式的,越长越好,大家可以自己测试一下。

  四、安装dedecms过程中,数据库表明前缀要是没有什么特殊的需求,我们要把默认的dede_这样的前缀修改掉。

  五、及时的关注后台的程序更新,及时的给程序打补丁。

  六、服务器安全,这点是比较重要的。选一个好的服务器商,就像我们选老婆一样,一定要选个好的。如果你是独立主机,相信在搭建服务器时就考虑到了这一点。服务器上一定要安装最新版本的防毒杀毒软件,及时升级更新,并设置好服务器的安全权限,让木马找不到入侵的大门。至于如何设置,网上随便一搜一大堆;如果你是租用的虚拟主机,那就要擦亮你的眼睛仔细甄别了。现在的一些IDC代理商都是只认钱不认人的,选择好的空间商,会给你一个更安全的建站空间。即使出了什么问题,也能第一时间得到解决。要知道,站点出现的有些问题是不能拖得,特别是被恶意挂马,一步留神可能就被K站了。

  七、dedecms根目录的目录权限设置。下载并安装了程序之后,首先要做的就是设置目录权限,这样即使木马突破服务器的限制,我们也让它找不到进一步破坏的路。如果你是windows主机,目录权限可以这样设置:

  1、 data、templets、uploads、a目录, 设置可读写,不可执行的权限。

  2、 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限。

  3、 include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。此外,建议把install 目录删除并不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:SELECT, INSERT , UPDATE , DELETE,CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES 。由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

  4、我们用不到的功能,删除掉这些文件不影响我们网站正常运行的文件,我们都可以把它删除掉。比如:

  (1)留言板、会员等功能。

  (2)后台的文件管理(管理目录下file_manage_xxx.php),不用的可以删掉,这个不是很安全,至少进了后台上传小马很方便.

  (3)下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.

  八、FTP密码设置问题。FTP的密码设置一定要长,密码一定要多变,设的要复杂。如果你的FTP密码很简单,就容易被一些FTP弱口令软件猜中。可以自己测试下自己的FTP密码。

  九、数据的备份。这个是每个站长都明白的。数据是我们的财富,我们一定要勤备份数据。这样就算是网站被黑,也能通过重装程序还原数据,将损失降低到最低。

  能做到以上的这些,我相信你用dedecms搭建的网站的安全性还是不错的。不过天下间,没有绝对的安全。

  还有那些地方说不对的、不完善的,希望高手能指正和批评!
下一篇:返回列表
验证码 换一个

扫一扫,反馈当前页面

咨询反馈
扫码关注

阿里云代理商公众号

返回顶部