DEDE系统DEDE怎么样做好安全防范挂马
| DEDE系统DEDE系统做为国内采用最为广泛采用人数最多的CMS之一,相信大量站长和我一样选择了它,它的优点我就不多说了。可是令大量站长头疼的是,用DEDE系统建的站常常被人莫名其妙的挂马,造成满页黑链、广告、弹框,令人气愤;更为可怕的是,还有可能被搜索引擎惩罚,辛辛苦苦打造的站,眼睁睁的看它权重降低,收录降低,甚至被K;更为紧急的则服务器成为肉机,宝贵数据丢失。其实,对于DEDE系统挂马,大家完全可以防范于未然。今天,笔者就我们的领会从以下几个方面和广大dede喜好者们谈谈如何预防DEDE系统被挂马,提升DEDE系统DEDE系统的安全。先来看看起因吧,为何PHP程序常常出漏洞,其实是由PHP程序本身决定的。PHP可复用性低,造成程序结构错综复杂,到处是冗余代码,这样不仅利于漏洞的产生,还影响漏洞的修复;PHP程序入门容易且一般开源,造成很大一部分人都可直接阅读代码,搜寻漏洞;这样便有源源持续的漏洞被发现、被修复、被发现。而当今时尚的PHP系统习惯用以文件形式做为缓存,这样就需要开放文件的写入权限,这无疑成为PHP系统的软肋。现在针对PHP系统的攻击方法,除去已经很少出现的“注入”攻击外,大多数攻击都是通过系统的某个漏洞,向可写文件里插入一句话木马,以此方法获得shell。网站安全从来都是服务器配置、文件权限控制和网站程序三者的相互配合,“可实行的文件不允许被修改,可写文件不允许被访问”这是网站权限控制的根本原则,网站程序在“可写文件不允许被访问”方面可做许多工作。就拿DEDE系统来说,大家可以在如下几个方面做好保护。1、大家下载并装配了程序之后,第一就是要设置目录权限,这样即便木马突破服务器的限制,大家也让它找不到进一步破坏的地方。大家可以把data、templets、uploads设置为可读写,不可实行权限。把include、member、plus、后台管理目录 设置为可读,可实行,不可写入权限(装配了附加模块的,book、ask、company、group 目录同样如此设置)。2、改名根目录下的data目录,或者移动到网站目录外面。data目录便是最藏污纳垢的地方,系统常常要往这个目录写数据,这个目录下的任何一个文件都可以通过URL访问到,所以要让浏览器访问不到里面的文件,就需要将此目录改名,或者移动到网站的目录外面去。这样,即便其他人通过漏洞往文件里写入了一句话木马,他也找不到此木马所在的文件路径,没办法继续展开攻击。由于DEDE系统程序的设置,所以改名data目录操作比较复杂,具体做法可以参考:怎么样将DEDE系统的data目录迁移到根目录以外3、程序越大、漏洞就越多,大家就需要精简网站,一些不常见的DEDE系统功能,自己的网站用不到的功能就可以删除。譬如 DEDE系统的member文件夹是会员管理软件,用不到可以删除;special是专题,用不到可以删除;需要可以在生成HTML后,删除。company是企业功能模块,用不到可以删除;plusguest/book 是留言板,用不到可以删除;install是装配程序,install在程序装配完后删除它。(强烈建议删除或者改名)dede是网站后台管理目录,请把dede改名,越复杂越安全,但是自身必须要记住,最好不要用网站名称之类简单猜到的。后台地址隐藏好,即便其他人获得了你的管理员账号、密码,也没办法登录。所有PHP开源程序安全设置都有相通之处,要学会举一反三。不妨学习一下其它开源系统的网站安全设置经验。4、FTP密码复杂化,假如你的FTP密码很容易,就很简单被黑客猜中。因此尽可能将FTP密码设置的复杂一些,最好字母+数字组合,10位以上,让那些破解程序破解去吧(大家空间默认的FTP密码就是复杂随机密码,更改密码之后必须要牢记密码)。5、网上流传的经典防黑客注入办法(DEDE防注入两办法)一是将每一个目录添加空的index.html,预防目录被访问;二是给做好网站301页面、403页面、404页面可以禁止访问某页或某文件。6、多关注官方平台,登录网站后台看看系统主页有没有升级更新的补丁提示,准时更新和升级补丁。友情提示:升级程序之前别忘记了要紧数据的备份,包括图片、模板等。7、最后一点,数据备份。其实即便大家做到了最严格的防范,也不可以完全预防被挂马,正所谓道高一尺魔高一丈!所以你的网站数据必须要常常备份。这样就算是网站被黑,也能通过重装程序还原数据,将损失减少到最低,毕竟数据是站长们最宝贵的财富。(责任编辑:模板无忧) |
希望以上内容可以解决您的问题!
如有其他问题欢迎大家一起交流学习!
作者:模板无忧 来源:互联网 关注:
时间:2020-08-05 06:30
►版权声明:凡注明来源为http://www.nsxcb.cn的均为本站原创,转载请注明来源。
►本文网址:http://www.nsxcb.cn/jiaocheng/anquan/2020/0805/8789.html
►凡本站提供教程均已验证教程的准确性。
►为提高用户在织梦后台添加栏目的灵活性(可随意添加/删除栏目),并保持(管理后台添加/删除栏目)与前端网站栏目的一致,本站模板中栏目均未固定,用户直接搜索typeid=''并替换''中的数字为所需栏目id即可。
►本站提供各种类型织梦模板!希望在这里找到喜欢的。下载本站模板,用户直接替换相关文字和图片即可。
►本站仅提供织梦模板即(DEDE模板),(除另外说明)均不带织梦安装程序及数据,用户直接覆盖默认模板即可。
►本站所有资源(包括源码、模板、插件等)仅供学习与参考,请勿用于商业用途。
►如有其他问题,请加网站客服QQ(375750496)进行交流。
►本文网址:http://www.nsxcb.cn/jiaocheng/anquan/2020/0805/8789.html
►凡本站提供教程均已验证教程的准确性。
►为提高用户在织梦后台添加栏目的灵活性(可随意添加/删除栏目),并保持(管理后台添加/删除栏目)与前端网站栏目的一致,本站模板中栏目均未固定,用户直接搜索typeid=''并替换''中的数字为所需栏目id即可。
►本站提供各种类型织梦模板!希望在这里找到喜欢的。下载本站模板,用户直接替换相关文字和图片即可。
►本站仅提供织梦模板即(DEDE模板),(除另外说明)均不带织梦安装程序及数据,用户直接覆盖默认模板即可。
►本站所有资源(包括源码、模板、插件等)仅供学习与参考,请勿用于商业用途。
►如有其他问题,请加网站客服QQ(375750496)进行交流。
相关织梦教程:
