dedecms织梦安全设置 防黑加固

2019年12月31日14:44:33 5 1,463 views

(为了安全起见,建议先做好全站数据和文件的备份,本人也是这样设置,并且没有任何问题)

请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先的做好备份,以防万一。

下载链接: https://pan.baidu.com/s/1krgFxGkDyT4p9wa3Ra5ulA
提取码: 89j5

 


1、修改默认后台名。

打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随意修改,比如修改为[adminbuy],此时后台登陆的路径为:http://www.*****.com/wdooc/

2、删除member文件夹

(一共就两个模板带会员功能,不是这两个模板的,都删除这个文件夹) 
带会员的模版:模板一、模板二
Member文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,就像AB模板网发布的基本都是企业站,所以并不需要会员系统,这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。

3、删除special文件夹

Special文件夹是专题的意思,AB模板网上下载的源码都没有用到这个专题页面,所以大家放心删掉好了。

4、打开plus文件夹

留下这么几个文件,其他全部删除,参考下图;

dedecms织梦安全设置 防黑加固

下面我们对这几个文件做下解释,

Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留

ad_js.php  这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留

Diy.php  这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留

Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留

List.php 这动态栏目,AB模板网上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留

View.php 这个是动态文章,道理和list.php一样,建议保留。

count.php 这个是文章浏览次数,建议保留。

如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。

DEDE文件夹下 删除以下文件

ad_add.php

ad_edit.php

ad_main.php

adtype_main.php

这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个(只有少数新闻博客模版有广告位)

 

 

cards_make.php

cards_manage.php

cards_type.php

这几个是会员点卡功能  所有模版都没用到这个  直接删除

 

feedback_edit.php

feedback_main.php

这是评论功能  如果没用到这个  直接删除

 

file_class.php

file_manage_control.php

file_manage_main.php

file_manage_view.php

file_pic_view.php

这几个是附件管理 文件式管理器 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等

 

freelist_add.php

freelist_edit.php

freelist_main.php

这几个是自由列表管理  基本上的模版都没用到这个  直接删除

 

getdedesysmsg.php

这个是织梦官方广告   直接删除

 

group_edit.php

group_guestbook.php

group_main.php

group_notice.php

group_store.php

group_threads.php

group_user.php

这几个是圈子功能 没用到这个  直接删除

 

mail_file_manage.php

mail_getfile.php

mail_send.php

mail_title.php

mail_title_send.php

mail_type.php

这几个邮件管理功能  没用到这个  直接删除

 

mda_main.php

这个是织梦官方广告   直接删除

 

media_add.php

media_edit.php

media_main.php

这几个是上传文件 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等

 

member_do.php

member_feed_edit.php

member_guestbook.php

....

所有的 member_开头的  这些是会员注册等  没用到这个  直接删除

 

mynews_add.php

mynews_edit.php

mynews_main.php

这几个是站内新闻 没用到这个  直接删除

 

mytag_add.php

mytag_edit.php

mytag_main.php

mytag_tag_guide.php

mytag_tag_guide_ok.php

这几个是自定义标记 没用到这个  直接删除

 

shops_delivery.php

shops_operations.php

shops_operations_cart.php

shops_operations_userinfo.php

订单功能  也是带会员的才会用到  没用到这个  直接删除

 

spec_add.php

spec_edit.php

这几个专题功能 没用到这个  直接删除

 

story_add.php

story_add_action.php

....

所有的 story_ 开头的  这些都是小说功能  没用到这个  直接删除

 

vote_add.php

vote_getcode.php

vote_edit.php

vote_main.php

这几个是投票功能  没用到这个  直接删除

 

五、删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。

删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。

 

六、修改用户名和密码

http://www.wdooc.com/archives/3364

 

七:目录权限设置

①/data、/templets、/plus、/include、/dede 这几个目录去掉写的权限

②网站根目录设置为755权限(即www权限),这样子根目录下的所有文件夹均为755权限

③老版本若登录后台提示验证码错误,选中/data目录,将权限设置为完全控制(可读可写)权限

八:主机安全防护

可下载第三方防护插件,例如:『D盾_防火墙』 、360出品的"织梦CMS安全包" 、百度旗下安全联盟出品的"DedeCMS顽固木马后门专杀"、服务器安全狗、启用HTTPS证书配置;

九:利用伪静态功能禁止以下目录运行php脚本

① linux主机的用户一般都是apache环境,使用 .htaccess 文件来设置,如果你网站根目录已经存在这个文件,那就复制一下代码添加进去。

RewriteEngine on

#安全设置 禁止以下目录运行指定php脚本

RewriteCond % !^$

RewriteRule a/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php|htm)$ – [F]

RewriteRule uploads/(.*).(php)$ – [F]

 

②:windows主机的用户一般都是iis7、iis8环境,使用 web.config 文件来设置,请确认你的主机已经开启了伪静态而且网站根目录有 web.config 文件,有这个文件的可以复制以下代码添加到对应的rules内。

<rule name="Block data" stopProcessing="true">

  <match url="^data/(.*).php$" />

    <conditions logicalGrouping="MatchAny">

     <add input="{USER_AGENT}" pattern="data" />

     <add input="{REMOTE_ADDR}" pattern="" />

   </conditions>

  <action type="AbortRequest" />

</rule>

<rule name="Block templets" stopProcessing="true">

  <match url="^templets/(.*).php$" />

     <conditions logicalGrouping="MatchAny">

      <add input="{USER_AGENT}" pattern="templets" />

      <add input="{REMOTE_ADDR}" pattern="" />

    </conditions>

  <action type="AbortRequest" />

</rule>

<rule name="Block SomeRobot" stopProcessing="true">

   <match url="^uploads/(.*).php$" />

      <conditions logicalGrouping="MatchAny">

         <add input="{USER_AGENT}" pattern="SomeRobot" />

         <add input="{REMOTE_ADDR}" pattern="" />

      </conditions>

    <action type="AbortRequest" />

</rule>

 

③:Nginx下禁止指定目录运行PHP脚本

注意:这段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效,配置完后记得重启Nginx生效。

location ~* /(a|data|templets|uploads)/(.*).(php)$ {

return 403;

}

 

测试有没有生效,可以随便创建一个PHP文件传到uploads文件夹下,执行:域名/uploads/测试文件.php  如果不能打开说明生效。

 

十、网站做好定期的备份工作,不要闲麻烦

 

还可以参考以下两篇文章:

dedeCMS的安全设置

DEDECMS去除冗余的代码

历史上的今天:


欢迎来到菜鸟头头的个人博客
本文章百度已收录,若发现本站有任何侵犯您利益的内容,请及时邮件或留言联系,我会第一时间删除所有相关内容。

  • A+
所属分类:WEB

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:5   其中:访客  4   博主  1

    • avatar 钻芒博客 2

      一直没怎么接触dede,安全性真的有这么不堪吗。今天有个站用的DedeCms。感觉还良好(或许是我安全意识太差啦)。有时间把你这个文章方法部署过去。感谢分享!

      • avatar https://www.lwfdy.com 1

        dede好用,但是安全性真的让我放弃了使用。

        • avatar 广东中专学校 0

          网站内容还是挺不错的,谢谢博主。还有博客应该是WORDPRESS做的吧,感觉美观度还可以提高,谢谢。我自已是搞前端设计的,你的代码可以做精简一点。

          • avatar 叶先生博客 4

            新年快乐!