织梦dedecms安全设置指南

首页>>网站学院>>Dedecms

999+

织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)  

织梦dedecms用来搭建企业网站方便简单,目前国内很多的企业站都是使用织梦做的,不过织梦网站的安全问题一直以来都为人诟病,但也不必过于担心,只需要做好网站的安全防护设置就可以了。

(为了安全起见,建议先做好全站数据库备份和文件的备份,以下教程是 SEO 教程网 https://wsstp.com/Dedecms/109.html 的总结经验。) 

 

注意:操作前先备份网站数据库和文件。如果网站经过二次开发,修改过的文件不要删除替换。 

 

一、打补丁,上传补丁文件替换 


已知漏洞修复文件: 

文件1:include/dedesql.class.php

文件2:include/uploadsafe.inc.php

文件3:include/dedemodule.class.php

文件4:include/dedetag.class.php

文件5:include/dedeajax2.js

文件6:include/dialog/select_images_post.php

文件7:include/dialog/select_soft_post.php

文件8:include/dialog/select_templets_post.php

文件9:dede/config.php

文件10:dede/article_description_main.php

文件11:dede/content_batchup_action.php

文件11:dede/makehtml_freelist_action.php

文件12:dede/file_class.php 

文件13:plus/guestbook/edit.inc.php (如果自己网站上没有这个文件 那就不用上传)

 

以上几个文件存在漏洞,请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先 的做好备份,以防万一。 

织梦漏洞补丁文件下载链接: 链接

(链接可能会失效,失效的话,联系小林老师微信Wisdom-boylin


二、修改默认后台文件夹名称 

打开 FTP 软件,连接空间,打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随 

意修改,比如修改为seowenda,此时后台登陆的路径为:域名/seowenda


三、删除不需要的文件 


1、删除 member 文件夹 

Member 文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,。这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。 

 

2、删除 special 文件夹 

Special 文件夹是专题的意思,基本都用不到这个专题页面,所以大家放心删掉好了。 

 

3、删除根目录下的 install 文件夹 

这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。 

 

4、plus 插件文件夹 

留下这么几个文件,其它全部删除,参考下图:

织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

下面我们对这几个文件做下解释:

  • img 文件夹,这个是主要是 CSS 样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留 

  • ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 

  • diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留

  • search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留 

  • list.php 这动态栏目,一般的网站都是生成静态栏目的,但是有些用户喜欢动态栏目,即使你使用的 是静态栏目,这个保留也没影响,所以建议保留 

  • view.php 这个是动态文章,道理和 list.php 一样,建议保留。 

  • count.php 这个是文章浏览次数,建议保留。 

如果实在看不懂,就按照截图保留,其它的都删除,删除前建议备份一份。 


5、dede 文件夹下 删除以下文件 

  • ad_add.php

  • ad_edit.php ad_main.php

  • adtype_main.php

这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个 只有少数新闻博客模版有广告 (

位) 

———————————————————————————————————————————–

  • cards_make.php

  • cards_manage.php

  • cards_type.php

这几个是会员点卡功能 所有模版都没用到这个 直接删除 

———————————————————————————————————————————–

  • feedback_edit.php

  • feedback_main.php

这是评论功能 所有模版都没用到这个 直接删除 

———————————————————————————————————————————–

  • file_class.php

  • file_manage_control.php

  • file_manage_main.php file_manage_view.php

  • file_pic_view.php

这几个是附件管理文件式管理器这个是影响安全,很多用户在用这个功能必须删除,改成 FTP 上传文件图片等

———————————————————————————————————————————–

  • freelist_add.php

  • freelist_edit.php freelist_main.php

这几个是自由列表管理,所有模版都没用到这个,直接删除 

———————————————————————————————————————————–

  • getdedesysmsg.php

这个是织梦官方广告 直接删除 

———————————————————————————————————————————–

  • group_edit.php

  • group_guestbook.php

  • group_main.php

  • group_notice.php group_store.php

  • group_threads.php

  • group_user.php

这几个是圈子功能,所有模版都没用到这个,直接删除 

———————————————————————————————————————————–

  • mail_file_manage.php

  • mail_getfile.php

  • mail_send.php mail_title.php

  • mail_title_send.php

  • mail_type.php

这几个邮件管理功能,所有模版都没用到这个,直接删除 

———————————————————————————————————————————–

  • mda_main.php

这个是织梦官方广告,直接删除 

———————————————————————————————————————————–

  • media_add.php

  • media_edit.php media_main.php

这几个是上传文件,这个是影响安全,很多用户在用这个功能 必须删除,改成 FTP 上传文件图片等 

———————————————————————————————————————————–

  • member_do.php

  • member_feed_edit.php

  • member_guestbook.php

  • ….

所有的 member_开头的 这些是会员注册等,模版中不带会员的话 这些都删除 

———————————————————————————————————————————–

  • mynews_add.php

  • mynews_edit.php

  • mynews_main.php

这几个是站内新闻,所有模版都没用到这个,直接删除 

———————————————————————————————————————————–

  • mytag_add.php

  • mytag_edit.php mytag_main.php

  • mytag_tag_guide.php

  • mytag_tag_guide_ok.php

这几个是自定义标记 所有模版都没用到这个 直接删除 

———————————————————————————————————————————–

  • shops_delivery.php

  • shops_operations.php

  • shops_operations_cart.php

  • shops_operations_userinfo.php

订单功能 也是带会员的才会用到 ,没有会员功能的话,这些都删除 

———————————————————————————————————————————–

  • spec_add.php

  • spec_edit.php

这几个专题功能,所有模版都没用到这个,直接删除 

———————————————————————————————————————————–

  • story_add.php

  • story_add_action.php 

  • ….

  • story_photo_edit.php

所有的 story_ 开头的 这些都是小说功能 所有模版都没用到这个 直接删除 

———————————————————————————————————————————–

  • vote_add.php

  • vote_getcode.php

  • vote_edit.php 

  • vote_main.php

这几个是投票功能 所有模版都没用到这个 直接删除 

———————————————————————————————————————————–


四、修改后台登录用户名和密码 

1、修改密码。

登录网站后台,点击系统-系统用户管理,点更改,然后设置新的登录密码,复制右边的安全验证串,点击保存用户,就可以修改成功。

织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

2、修改后台登录用户名。


织梦后台登录用户名默认的是 admin,大家发现不能修改用户名,其实是可以的,按以下步骤操作: 


(1)点击【核心】-【批量维护】,找到数据库内容替换,如图:

(或者直接输入链接即可,如:http://域名/dede/sys_data_replace.php)

织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

(2)点击 dede_admin,点击字段 userid,再被替换的内容右边填写 admin(旧的用户名),在替换为右边填写新的用户名,如下图:

织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

新的用户名要记好,以免不知道用户名,进不去后台。


五、网站权限设置 

1、禁止执行 PHP 脚本 

Apache 环境下,在.htaccess 文件中写入如下规则: 

1
2
3
4
5
#针对 uploads,data,templets 三个目录做了执行 php 脚本限制 
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ - [F]
RewriteRule data/(.*).(php)$ - [F]
RewriteRule templets/(.*).(php)$ - [F]

2、data/common.inc.php 数据库连接文件 禁止写入与执行,只允许读取模板 

打开 ftp 软件,连接空间,打开 data 文件夹,选中 common.inc.php 文件,右键-文件属性,设置权限为 644。 


六、域名和空间(服务器)安全 

1、域名。

域名是网站的入口之一,也是网站被黑的一个切入口,如果域名出了问题,网站就不能打开了。那么怎么保证域名的安全呢? 

(1)选择正规靠谱的注册商 

(2)域名注册的信息务必如实填写 

(3)尽量使用域名商提供的正规 DNS 解析,慎用免费的解析 

 

2、空间服务器安全措施 

(1)安全组合:服务器及网站防护(安全狗/服务器防火墙等)+WEB 常规防护和访问加速(CDN云加速)+网站安全预警和日常监测 

(2)使用云防护工具:安全狗、悬镜等 

(3)通过 ftp 来上传、维护网页,尽量不安装 asp 的上传程序 

(4)日常要多维护,并注意空间中是否有来历不明的文件 


七、网站定期备份,不要嫌麻烦 

网站备份,包括网站文件的备份和数据库的备份,建议一周备份一次。 

织梦 dedecms 网站备份操作步骤如下: 

(1)数据库备份 :需 要登录织梦网站管理后台 ,打开 ” 系 统 – 数据库备份 /还 原 ” ,点 击” 提 交 “即可。 

(2)网站文件备份:可以到空间服务器管理后台,使用文件压缩功能,把网站整站压缩了,然后通过 FTP工具下载到电脑上。 

(3)完成上述两步后,织梦网站就完成备份了。 





发布留言:


留言信息(最新3条):

昵称:A****nda 时间:2023-04-13 10:23:34

留言:麻烦帮我改下模板代码咧 什么时候比较方便

昵称:WSS素材网 时间:2023-04-13 10:23:34

回复:请添加微信:Wisdom-boylin 或 添加QQ:584244711

昵称:炸****趴菜。 时间:2023-04-12 15:14:27

留言:兄弟 我需要个蜘蛛池啊 有没介绍看到加我

昵称:WSS素材网 时间:2023-04-12 15:14:27

回复:请添加微信:Wisdom-boylin 或 添加QQ:584244711

昵称:彩****的雨云 时间:2023-04-12 14:47:10

留言:我想咨询下你们做不做小旋风超级模板的 需要10套

昵称:WSS素材网 时间:2023-04-12 14:47:10

回复:请添加微信:Wisdom-boylin 或 添加QQ:584244711


版权声明:本文为「WSS素材网」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。  
原文链接:https://wsstp.com/Dedecms/109.html