腾讯云服务器优惠活动华纳云香港服务器

如何有效防止 DedeCMS 系统被挂马?

DedeCMS 是一个非常好的 CMS 程序,现在最新版本是 5.7。经过很多版本的升级和功能添加,DedeCMS 仍然存在很多问题。这里不是说 DedeCMS 不好,相对来说还是很好的,简单容易用,造福了许许多多中小站长。今天我们一起探讨一下 DedeCMS 的安全设置。用 DedeCMS 的朋友一定有遇到过网站被挂马的情况,不是每个页面中被添加很多链接就是 js 中被加入恶意转向。

如何有效防止 DedeCMS 系统被挂马?-第1张-boke112百科(boke112.com)

有效防止 DedeCMS 系统被挂马的安全设置

1. 尽可能的使用 Linux 主机纯 PHP 空间,Windows 主机能运行 ASP 就多一份危险。

2. 安装 DedeCMS 的时候数据库的表前缀最好改一下,不要用 DedeCMS 默认的前缀 dede_,可以改成 lsd_,随便一个无规律的、难猜到的前缀即可。

3. 后台登录一定要开启验证码功能,将默认管理员 admin 账号删除或者改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少 8 位,而且字母与数字混合。

4. 装好程序后务必删除 install 目录!

5. 将 DedeCMS 后台管理默认目录名 dede 改掉,随便改个不好猜的没规律的。

6. 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。能不用会员系统最好不要用,可以直接删除 member 会员目录,后台关闭会员功能。实在要用一定要将“是否允许会员上传非图片附件”设置为否,对用户进行严格限制,因为有很多垃圾注册机一天注册很多用户名。推荐直接删除 member 会员目录,不用会员系统。

以下一些是可以删除的目录/功能(如果你用不到的话):

  • member 会员功能
  • special 专题功能
  • company 企业模块
  • plus/guestbook 留言板

7. 针对 uploads、data、templets 三个目录做执行 php 脚本限制。就算被上传了木马文件到这些文件夹,也是无法运行的,所以这一步很重要一定要设置。

站长建议:计划搭建免备案博客网站推荐使用免备案老薛主机,建议优先考虑香港云主机!购买老薛云主机或云服务器时请输入优惠码:boke112 即可享受终身7折优惠(以后续费价格也跟新购价一样),购买和续费主机教程请参考『老薛主机用优惠码boke112购买图文教程(老薛主机用优惠码续费教程)

老薛主机用户可以直接将下面的代码复制到网站根目录下的.htaccess 文件中即可。

RewriteEngine on
RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]

如果你需要限制其他目录,也可以直接修改或添加规则。如果网站根目录下找不到这个文件,可以参考『老薛主机如何创建.htaccess 文件?』这个教程创建。

8. 不安装来路不明的模板,或者其他需要上传到网站目录下的文件,要安装先杀毒再安装。

9. 用最新版本的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

10. 大多数被上传的脚本集中在 plus、data、data/cache 三个目录下,如果遇到被挂马的情况请仔细检查三个目录下最近是否有被上传文件。

迄今为止,我们发现的恶意脚本文件有:

  • plus/ac.php
  • plus/config_s.php
  • plus/config_bak.php
  • plus/diy.php
  • plus/ii.php
  • plus/lndex.php
  • data/cache/t.php
  • data/cache/x.php
  • data/config.php
  • data/cache/config_user.php
  • data/config_func.php 等等

建议使用 DedeCMS 的用户都花一些时间做好这些设置,一般就够用了。对于其他程序,也可以参考这个设置,但不同程序的文件/目录路径会存在区别,可以自行判断,同时我们建议定期备份自己的重要数据。

赞 (0) 打赏
版权声明:本文为转载文章,来源于 老薛主机帮助中心 ,版权归原作者所有!发布此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请联系我们,确认后马上更正或删除,谢谢!
香港云主机55元/年
wu