如何有效防止 DedeCMS 系统被挂马?

转载   老薛主机帮助中心  2019-06-30 07:32:58  86 人阅读  10 条评论

DedeCMS 是一个非常好的 CMS 程序,现在最新版本是 5.7。经过很多版本的升级和功能添加,DedeCMS 仍然存在很多问题。这里不是说 DedeCMS 不好,相对来说还是很好的,简单容易用,造福了许许多多中小站长。今天我们一起探讨一下 DedeCMS 的安全设置。用 DedeCMS 的朋友一定有遇到过网站被挂马的情况,不是每个页面中被添加很多链接就是 js 中被加入恶意转向。

如何有效防止 DedeCMS 系统被挂马? 建站经验 第1张

有效防止 DedeCMS 系统被挂马的安全设置

1. 尽可能的使用 Linux 主机纯 PHP 空间,Windows 主机能运行 ASP 就多一份危险。

2. 安装 DedeCMS 的时候数据库的表前缀最好改一下,不要用 DedeCMS 默认的前缀 dede_,可以改成 lsd_,随便一个无规律的、难猜到的前缀即可。

3. 后台登录一定要开启验证码功能,将默认管理员 admin 账号删除或者改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少 8 位,而且字母与数字混合。

4. 装好程序后务必删除 install 目录!

5. 将 DedeCMS 后台管理默认目录名 dede 改掉,随便改个不好猜的没规律的。

6. 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。能不用会员系统最好不要用,可以直接删除 member 会员目录,后台关闭会员功能。实在要用一定要将“是否允许会员上传非图片附件”设置为否,对用户进行严格限制,因为有很多垃圾注册机一天注册很多用户名。推荐直接删除 member 会员目录,不用会员系统。

以下一些是可以删除的目录/功能(如果你用不到的话):

  • member 会员功能
  • special 专题功能
  • company 企业模块
  • plus/guestbook 留言板

7. 针对 uploads、data、templets 三个目录做执行 php 脚本限制。就算被上传了木马文件到这些文件夹,也是无法运行的,所以这一步很重要一定要设置。

boke112导航建议:免备案网站推荐使用免备案虚拟主机——老薛主机,购买老薛主机的虚拟主机、vps等产品时,请记得输入终身7折优惠码:boke112,可以终身享受7折优惠哦!千万不要直接原价购买哦!更多关于虚拟主机的文章请移步『虚拟主机专题

老薛主机用户可以直接将下面的代码复制到网站根目录下的.htaccess 文件中即可。

RewriteEngine on
RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]

如果你需要限制其他目录,也可以直接修改或添加规则。如果网站根目录下找不到这个文件,可以参考『老薛主机如何创建.htaccess 文件?』这个教程创建。

8. 不安装来路不明的模板,或者其他需要上传到网站目录下的文件,要安装先杀毒再安装。

9. 用最新版本的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

10. 大多数被上传的脚本集中在 plus、data、data/cache 三个目录下,如果遇到被挂马的情况请仔细检查三个目录下最近是否有被上传文件。

迄今为止,我们发现的恶意脚本文件有:

  • plus/ac.php
  • plus/config_s.php
  • plus/config_bak.php
  • plus/diy.php
  • plus/ii.php
  • plus/lndex.php
  • data/cache/t.php
  • data/cache/x.php
  • data/config.php
  • data/cache/config_user.php
  • data/config_func.php 等等

建议使用 DedeCMS 的用户都花一些时间做好这些设置,一般就够用了。对于其他程序,也可以参考这个设置,但不同程序的文件/目录路径会存在区别,可以自行判断,同时我们建议定期备份自己的重要数据。

您可能感兴趣的文章

文章标签: ,  
原文地址:http://help.laoxuehost.com/scripts/dedecms/dedecms-security-settings.html
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 老薛主机帮助中心 ,版权归原作者所有,欢迎分享本文,转载请保留出处!
©boke112导航,本站推荐使用:阿里云 ECS服务器等云产品服务,国外免备案主机建议使用:老薛主机
转载砖家

 发表评论

强表情无奈表情抠鼻表情笑哭表情偷笑表情衰表情流汗表情奋斗表情吐血表情抓狂表情晕表情流泪表情疑问表情呲牙表情惊讶表情鼓掌表情

  1. 爱游博客
    爱游博客 @回复

    dedecms容易被黑,这是业界公认的,还是wordpress好用

  2. 运维学习笔记博客
    运维学习笔记博客 @回复

    国内的CMS系统,架构老旧,代码漏洞太多了!最主要的是不支持PHP7,这个很让人抓狂!

  3. 白锌网络
    白锌网络 @回复

    到现在为止,连dedeccms的具体功能都没摸透,太强大了

  4. 魏义齐个人博客
    魏义齐个人博客 @回复

    国内php开发的老牌cms里帝国cms最安全,dedecms虽然上手容易但不敢用

  5. 子午物联网
    子午物联网 @回复

    这款cms还没玩过呢

  6. 张波博客
    张波博客 @回复

    还是七八年前玩过,现在转到WP了。