DedeCMS系统不安全,容易被黑。——这是网上的说法。
DedeCMS已经有10多年的历史了,无数的企业站在使用DedeCMS。织梦网站系统相对于其他一些不知名的网站系统来说安全性还是很高的,网上的说法,很大一部分原因是原因使用的人太多,会有人专门针对织梦系统研究相关的漏洞,从而做一些不光彩的事情。我们站长要做的事情就是做好最最基础的防护,这样基本上就没有问题了。世上没有完美系统,只是相对安全。
下面请跟随学做网站网,做好下面几点防护措施:
通用
- 购买虚拟主机/云主机的时候,系统最好选择Linux(CentOS、Ubuntu、Debian等)
- 安装时设定的管理员密码不要是弱口令,eg:123456、123、abc等
- 安装完成后第一件事就是删除掉 install 文件夹
- 修改默认的后台登录 dede,改为自己能记住的名称
- 尽可能把管理员账号设置为非 admin
- 设置权限,将 data/common.inc.php 文加设置为只读(非777权限)
企业站
- 企业站一般很少用到功能性需求,不需要插件模块的话,删除 plus 文件夹。
- 企业站一般用不到会员模块,可以将其删除。删除掉 member 文件夹。
- 如果不需要使用专题,可以直接删除special目录;
进阶设置(更一步提升安全)
将 data 文件夹移动至程序上一层目录:
步骤:
- 剪切 data 目录,移动至上一层。
- 找到 include/commin.inc.php,将 define(‘DEDEDATA’, DEDEROOT.’/data’); 改为 define(‘DEDEDATA’, DEDEROOT.’/../data’);
- 以下目录:include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改;
- 以下目录:data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可以在后台进行更改;
- 考虑删除下面的文件:
DEDE 管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。
不需要顶踩的请将根目录下的digg.php与diggindex.php删除。
终极办法(100%不会被黑)
本地发布html,然后上传到空间。此时服务器中不包含任何动态内容,是最安全的方式,不过维护相对来说比较麻烦。
