DEDECMS安全设置怎样做,您就不会说它不安全了
dedecms是好用,优化也好,就是不安全,个人是这样认为的,今天 闲着没事
整理了一些有助于dedecms网站安全的一些设置,可以说是目前最全的dedecms安全设置!
其一:保持DEDE更新,及时打补丁。
其二:装好DEDE后及时把install文件夹删除
其三:管理目录改名,最好是改成MD5形式的,最好长点
其四:DedeCms 万能安全防护代码http://bbs.dedecms.com/read.php?tid=15538
其五:如果是使用HTML可以把plus下的相应文件和根目录下的index.php做掉(用不到的全删掉,还可以把数据库里面不用的表删除掉)
其六:不用留言本的可以把/plus下的guestbook做掉
其七:不用会员的可以把member做掉
其八:后台的文件管理(管理目录下file_manage_xxx.php),不用的可以做掉,这个不是很安全,至少进了后台上传小马很方便
其九:下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以做掉,这个也比较容易上传小马的
最安全地方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全。
第一:挂马前的安全措失
a、改更默认管理目录dede。
b、检查install目录里是否存在install.lock文件。有用户没给install目录写权限导致安装的时候没有生成lock文件。安装完成后可整个删除intstall目录。
c、关注后台更新通知,检查是否打上最新dedeCMS补丁
d、服务器web目录权限设置
有条件的用户把DedeCms中data、templets、uploads、html、special、images、install目录设置为不允许执行脚本,其它目录禁止写入,系统将更安全。
e、建议到官方下载程序
f、服务器安全措施(以windows2003系统为例)
1、更新系统补丁到最新的,并打开自动更新
2、安装杀毒软件,更新病毒库到最新,并打开自动更新
3、打开系统自带的防火墙,开放应用中的端口,以过滤不必要的端口访问
4、打开tcp/ip安全策略,开放应用中的端口,以过滤不必要的端口访问
5、打开用户与用户组管理,添加IUSR用户对应不同WEB站点,以便分权限管理减少因一站点被黑带来的权限危机
6、针对不同的WEB目录设置不同的权限
例:WebSiteA目录对应权限一般为system/administrators完全权限 IUSR_websiteA只读权限
WebsiteA下面的子目录根据DedeCMS程序的需求分配IUSR_websiteA的写入运行权限,详见上面b点目录权限说明
7、不要在服务器上安装不明来路的软件
8、不要在服务器上安装什么破解版汉化版软件,如果实在需要建议用原版
9、建议不要安装ServU FTP软件,换用其它的FTP软件,更改FTP端口,用户密码不要太简单
10、如果不需要请尽量关闭服务应用的远程访问功能,如mysql user的远程访问
11、针对上面一点,可以运用本地安全策略功能,设置允许访问IP。
12、运用本地安全策略,还可以有效拒绝CC攻击,过滤来源IP的访问。
13、服务器上各项服务应用注意及时更新补丁,如mssql切记打补丁,而且要使用正版的,没条件的也要使用正规的复制版本
14、服务器上的各项应用如IIS配置mysql配置,请搜索百度谷歌这方面的安全应用的专题,加强内功是很重要的。
15、开启IIS的访问日志记录
第二:挂马后的安全检查
必要时关闭网站进入一步步排查
a、进DedeCMS管理后台检查是否有新补丁或安全提醒没有及时更新。
b、检查源文件中是否有相应木马病毒代码,以确认是否为ARP攻击
ARP攻击表现:程序文件毫无异动,攻击是采用欺骗目标网关以达到欺骗用户端的效果,实现用户端访问网站加载木马的目的。
ARP攻击防范:对服务器加装防ARP攻击类的软件及其它应对措施,或联系您的IDC服务商。
c、检查目录权限,详见第一大点里的安全措施。
d、检查FTP里的每一个目录,查找最近被修改过的可疑文件。
1、用记事本等类工具打开查找,如果是真被挂马,这里分析下都能找到。
2、如果是整站被挂,请着重先检查下整站调用的js文件。
3、从文件中找出被挂的代码,复制代码的关键语句部分,打开替换类软件批量替或批量找吧。
4、上面一步需要有服务器控制权限,没有的话只能下载回来批了。(这是谨慎的办法,如果你有把握那可以只检查部分文件或目录)
e、上面还是解决不了,那得分析IISLOG日志,追根朔源查找入侵点。
你可以下载IISlog分析类软件研究。
第三:如何向官方求助或报告安全问题?
1、查看木马、可疑文件的修改时间
2、查看站点系统日志,对照第1点所获得的时间,找出挂马的方式。
3、请先认真阅读理解一二大点,确认仍无法解决的,请论坛获取技术支持 第四:安装一些必要的第三方插件,及时监控
DEDECMS安全设置怎样做,您就不会说它不安全了的更多相关文章
- 织梦Dedecms安全设置
织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些.这些都导致织梦的用户群是非常庞大的,用的人多了, ...
- DEDECMS安全设置篇
dedecms是好用,优化也好,就是不安全,个人是这样认为的,今天 闲着没事 整理了一些有助于dedecms网站安全的一些设置,可以说是目前最全的dedecms安全设置! 其一:保持DEDE更新,及时 ...
- 【织梦dedecms安全设置】dedecms如何防止被黑?dedecms被黑了怎么办?
[织梦dedecms安全设置]dedecms如何防止被黑?dedecms被黑了怎么办?010-63495805很多所谓的“黑客”都是用工具来扫描入侵,厉害点的人是不屑来黑我们的小网站的,所以我们一般做 ...
- 织梦dedecms安全设置详情
第一.安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可. 第二.后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的, ...
- 老生常谈:DEDECMS安全设置问题分享
Dedecms安全问题已经是老生常谈了.虽然无忧主机php虚拟主机安全性是很高的,但是黑客总是利用dedecms的漏洞进行注入.其实有些时候,是我们对dedecms的安全设置不到位导致的.今天无忧主机 ...
- 常用的织梦dedecms安全设置集合整理
织梦系统用户很多,被发现的漏洞也就相对很多,所以网站安全需要做好,很多所谓的“黑客”都是用工具来扫描入侵,厉害点的人是不屑来黑我们的小网站的,所以在我们不是专业维护人员情况下,做好一般的安全防护就可以 ...
- dedecms中arclist标签做分页以及分页点击模块样式错乱问题
in 使用织梦建站,通常会调用到一个文章列表,dedecms官网list标签没有提供typeid的属性,首页或多列表部分情况下使用分页并不方便,这就需要用arclist标签实现一个分页功能:以下还是展 ...
- [Windows Server 2008] DEDECMS(织梦)安全设置
★ 欢迎来到[护卫神·V课堂],网站地址:http://v.huweishen.com★ 护卫神·V课堂 是护卫神旗下专业提供服务器教学视频的网站,每周更新视频.★ 本节我们将带领大家:DedeCms ...
- 织梦DedeCMS网站地图模板
亲和百度蜘蛛,分页多层次特色,织梦系统最好用的网站地图! 用 DedeCMS(织梦) 系统搭建的网站多数都是以优化为主要目标的网站类型,既然是优化站 SEO 手段就离不开为网站设置网站地图.可是 De ...
随机推荐
- Python【day 15-3】函数部分
'''''' ''' 一.函数 1.函数定义 对功能或者动作的封装 在类中定义,就是方法 在类之外定义,就是函数 2.函数写法 1.定义或者申明函数 def 函数名(形参列表): 函数体(return ...
- SILK编码语音转WAV格式
- SILK编码 SILK采样率可为8.12.16或24 kHz,比特率可为6至40 kbit/s.对应到报文层面的直观印象,即SILK编码的语音数据每帧长度是不等的. SILK编码已经开源,目前可下 ...
- 【转载】不可不知的 Android strings.xml 那些事
相信 strings.xml 已经是大家在 Android 开发中最熟悉的文件之一了,但其实它也有很多需要注意的地方和一些小技巧,知道了这些可以让你的 Android 应用更加规范易用,大家来看看吧. ...
- 解决vue+springboot前后端分离项目,前端跨域访问sessionID不一致导致的session为null问题
问题: 前端跨域访问后端接口, 在浏览器的安全策略下默认是不携带cookie的, 所以每次请求都开启了一次新的会话. 在后台打印sessionID我们会发现, 每次请求的sessionID都是不同的, ...
- 苏州市java岗位的薪资状况(1)
8月份已经正式离职,这两个月主要在做新书校对工作.9月份陆续投了几份简历,参加了两次半面试,第一次是家做办公自动化的公司,开的薪水和招聘信息严重不符,感觉实在是在浪费时间,你说你给不了那么多为什还往上 ...
- 具名插槽 slot (二)
slot 是父组件与子组件的通信方式可以将父组件的内容显示在子组件当中或者说可以将 让你封装的组件变的更加的灵活,强壮! 在子组件中 通过为多个slot进行命名.来接受父组件中的不同内容的数据 这 ...
- 2015年蓝桥杯B组C/C++决赛题目
2015年第六届蓝桥杯B组C/C++国赛题目 点击查看2015年第六届蓝桥杯B组C/C++国赛题解 1.积分之迷 小明开了个网上商店,卖风铃.共有3个品牌:A,B,C. 为了促销,每件商品都会 ...
- lua 3 循环
while() do ... end i=10 while(i>0) do print(i) i=i-1 end repeat ... until() i=10 repeat print(i) ...
- Mybatis工作原理(九)
mybatis工作流程: (1) SqlSessionFactoryBuilder 从 XML 配置文件或通过Java的方式构建出 SqlSessionFactory 的实例. (2) SqlSess ...
- zz自动驾驶多传感器感知的探索1
Pony.ai 在多传感器感知上积累了很多的经验,尤其是今年年初在卡车上开始了新的尝试.我们有不同的传感器配置,以及不同的场景,对多传感器融合的一些新的挑战,有了更深刻的认识,今天把这些经验,总结一下 ...