新聞中心

2013年最新Dedecms網站安全設置入門教程

作者 / 無憂主機時間 2013-07-29 21:28:59

各位站長朋友應該知道在2013年7月15日dede出現(xiàn)了一個很大的安全漏洞，牽連了無數(shù)站點和php空間商。在此次dede安全漏洞集體爆發(fā)事件中，不幸無憂主機也有2臺服務器收到威脅，我公司服務器維護工程師，10分鐘內就解決了這個問題，一共發(fā)現(xiàn)6個dede站點被害。事后檢查中，發(fā)現(xiàn)這6個站點都是清一色的dedecms v5.6的老版本，而且連最基本的安全策略都沒有做，不給害才怪。而且 dede官網這幾天訪問也不太順暢，貌似也被坑了，這幾天觀察dede官方網站也在不間斷的恢復數(shù)據。今天23點的時候，我在dede官方論壇上了解最新的安全補丁信息，發(fā)現(xiàn)打不開。很是尷尬。織夢（dedecms）內容管理系統(tǒng)，這個讓人又愛又恨的php開源系統(tǒng)，無憂主機不止一次提醒過大家，要隨時跟隨官方信息，即使更新版本，打安全補丁，而且無憂主機小編在此之前都發(fā)過非常多的dedecms安全配置教程，希望幫助客戶做好防范措施。很多主機商都明令禁止自己的產品使用dedecms系統(tǒng)，這個很是寒心。無憂主機香港免備案的系列php虛擬主機產品，請大家放心使用，無憂主機無論是從服務器上，還是網站應用上，都發(fā)了非常大的精力針對dedecms系統(tǒng)進行優(yōu)化和預防。大家可以放心使用。今天無憂主機小編就繼續(xù)針對這次dedecms安全事故，給大家?guī)韉edecms教程。進一步給大家介紹一下如何加強dedecms網站安全建設。第一、安裝的時候數(shù)據庫的表前綴，最好改一下，不用dedecms默認的前綴dede_,可以改成123_,隨便一個名稱即可。第二、密碼，這個在任何地方、任何人都會說的一個問題，無憂主機小編這里，依然再次強調，請你使用強壯密碼，請您重視它，否則您將受到懲戒。我們都知道，dedecms內容管理系統(tǒng)的管理員密碼是通過MD5加密的，你知道，別人也知道。簡單的md5字符串是很容易破解的，所以網站的密碼一定要設置足夠強壯，數(shù)字、字母、特殊符號組合10位以上，這樣即便網站管理員口令被強制“爆破”，這也給別人破解md5密碼加密增加難度。第三、裝好程序后務必刪除install目錄第四、請直接刪除“install”目錄，留著無用，而且還有會禍害網站安全，刪了吧！刪除系統(tǒng)安裝程序，這個操作時安裝所有php開源程序的共性第五、用不到的功能一概關閉，比如會員、評論等，如果沒有必要通通在后臺關閉。第六、嚴防死守網站目錄權限的設置，刪除php執(zhí)行權限，拒絕防止木馬的執(zhí)行,以下是可以刪除的文件：管理目錄下的這些文件是后臺文件管理器，屬于多余功能，而且最影響安全,許多HACK都是通過它來掛馬的

`1`	`file_manage_control.php`

`1`	`file_manage_main.php`

`1`	`file_manage_view.php media_add.php`

`1`	`media_edit.php media_main.php`

再有：不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除。 1、data、templets、uploads、a或5.3的html目錄，設置可讀寫，不可執(zhí)行的權限； 2、不需要專題的，建議刪除 special 目錄，需要可以在生成HTML后，刪除 special/index.php 然后把這目錄設置為可讀寫，不可執(zhí)行的權限； 3、 include、member、plus、后臺管理目錄設置為可執(zhí)行腳本，可讀，但不可寫入（安裝了附加模塊的，book、ask、company、group 目錄同樣如此設置）。 4、刪除目錄執(zhí)行權限。這個是官方強烈推薦的安全防范措施，請你務必重視，實現(xiàn)方法見：無憂主機教你取消PHP空間目錄腳本執(zhí)行權限無憂主機（www.gle-technology.com）我用自己的一句話概括這樣的設置是：所有能夠執(zhí)行腳本的文件只能讀，不能寫，能夠寫入的文件卻不能執(zhí)行腳本，這樣做的效果是盡可能的做到最嚴密的設置。至于設置的權限的方法在ftp工具上右擊“屬性”即可設置。關于權限，無憂主機（www.gle-technology.com）系列免被備案php虛擬主機都已經做好策略，請您安裝的時候默認權限即可，請不要隨意改動默認權限，目錄默認權限：文件夾755，單個文件644。 5、dede管理目錄下的：

`1`	`file_manage_control.php`

2

`3`	`file_manage_main.php`

4

`5`	`file_manage_view.php`

6

`7`	`media_add.php`

8

`9`	`media_edit.php`

10

`11`	`media_main.php`

這些文件是后臺文件管理器，無憂主機（www.gle-technology.com）任務這個功能最多余，也最影響安全，許多hack都是通過它來掛馬的。它簡直就是小型掛馬器，上傳編輯木馬太方便了。一般用不上請統(tǒng)統(tǒng)刪除。第七、多關注dedecms官方發(fā)布的安全補丁，及時打上補丁。第八、下載發(fā)布功能（管理目錄下soft__xxx_xxx.php），不用的話可以刪掉，這個也比較容易上傳小馬的. 第九、Dedecms官網出的萬能安全防護代碼,登錄dedecms官網論壇查看. 第十、最安全的方式：本地發(fā)布html，然后上傳到空間。不包含任何動態(tài)內容，理論上最安全，不過維護相對來說比較麻煩。十一，還是得經常檢查自己的網站，被掛黑鏈是小事，被掛木馬或刪程序就很慘了，運氣不好的話，排名也會跟著掉。所以還得記得時常備份數(shù)據. 如果做好以上十一點的話，相信您的網站基本上就碉堡了，黑客想要入侵也不是那么容易的了。相關文章推薦：dedecms怎么去掉power?by?dedecms

本文地址：http://www.gle-technology.com/dedecms/11773.html

上一篇: dedecms如何用利用2013年7月最新補丁修復安全漏洞的方法
下一篇: Dedecms v5.6怎么升級到v5.7 sp 最新教程【圖文教程】