织梦DEDECMS网站安全设置防挂马教程-织梦cms教程-爱模板网

织梦DEDECMS网站安全设置防挂马教程

2024-08-30 09:59:19

织梦DEDECMS网站安全设置防挂马教程

很多客户在使用中经常会遇到或者担心网站挂马，这套简单的教程中为客户讲解了一系列针对DEDE网站的安全设置只要你按照以下三点操作，可避免99% 网站被挂马的情况。

织梦DEDECMS网站安全设置防挂马教程

一精简设置篇：

不需要的功能统统删除。比如不需要会员就将member文件夹删除。删除多余组件是避免被hack注射的最佳办法。将每个目录添加空的index.html，防止目录被访问。（推荐学习：织梦cms）

织梦可删除目录列表：member会员功能 special专题功能 install安装程序(必删) company企业模块 plus\guestbook留言板以及其他模块一般用不上的都可以不安装或删除。

二密码设置篇：

管理员密码一定要长，而且字母与数字混合，尽量不要用admin，初次安装完成后将admin删除，新建个管理员名字不要太简单。

织梦系统数据库存储的密码是MD5的，一般HACK就算通过注入拿到了MD5的密码，如果你的密码够严谨，对方也逆转不过来。也是无奈。

但现在的MD5破解网站太过先进，4T的硬盘全是MD5密码，即便你的密码很复杂有时候都能被蒙上。我之前的站点就是这么被黑的。所以一定密码够复杂。

三 dede可删除文件列表：

DEDE管理目录下的

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

这些文件是后台文件管理器(这两个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除！

做到以上三点保证您的网站安全可靠！

以上就是织梦DEDECMS网站安全设置防挂马教程的详细内容，更多请关注下载我资源网( www.xiazaiwo.net)其它相关文章！

织梦dedecms全面安全性设置方法

织梦cms相对来说还是比较简单易用的。至于织梦cms的安全性如何，是否存在漏洞，这个问题来讲是不可避免的。而且在织梦的安全性问题上，一直都是大家诟病的，找到解决办法才是根本。

织梦cms安全性设置:

1、安装dedecms时，数据库的表前缀，最好改一下，不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。

2、织梦cms后台登录一定要开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号，管理员密码一定要长，至少8位，而且字母与数字混合。

3、装好程序后务必删除install目录！！！

4、用不到的功能一概关闭，比如会员、评论等功能，如果没有必要通通在后台关闭。

5、将dedecms后台管理默认目录名dede改掉，改复杂一点的目录。

6、以下一些是可以删除的目录/功能（如果你用不到的话）：member（会员功能）、special（专题功能）、company（企业模块）、plus\guestbook（留言板）。

迄今为止，我们发现的恶意脚本文件有：plus/ac.php、plus/config_s.php、plus/config_bak.php、 plus/diy.php、plus/ii.php、plus/lndex.php、data/cache/t.php、data/cache /x.php、data/config.php、data/cache/config_user.php、data/config_func.php等等；

大多数被上传的脚本集中在plus、data、data/cache三个目录下，请仔细检查三个目录下最近是否有被上传文件。

7、尽可能的使用linux，相对于windows环境服务器，Linux安全性大大的增加。

8、后台登录管理不要用admin为用户名可以改成其他的。

9、data/common.inc.php文件属性（Linux/Unix）设置为644或（Windows NT）设置为只读。

10、针对uploads、data、templets 三个目录做执行php脚本限制。

11、不安装来路不明的模板，或者其他需要上传到FTP下的文件，要安装先杀毒再安装。

12、用最新版的织梦cms程序，就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

13、能不用会员系统最好不要用，可以直接删除member 会员文件夹，后台关闭会员功能。实在要用一定要设置是否允许会员上传非图片附件设置为否对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。

虚拟主机/空间配置目录执行php脚本限制方法: Apache环境和nginx环境的两种设置方法

对uploads、data、templets 三个目录做执行php脚本限制，就算被上传了木马文件到这些文件夹，也是无法运行的。所以这一步很重要，一定要设置。

在配置前需要确认你的空间是否支持.htaccess和rewrite，该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。

1、Apache环境规则内容如下：Apache执行php脚本限制把这些规则添加到.htaccess文件中

RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ – [F]