主頁 > 網(wǎng)站建設(shè) > 建站知識 > 修改DedeCMS目錄增強(qiáng)安全防止網(wǎng)站掛馬

修改DedeCMS目錄增強(qiáng)安全防止網(wǎng)站掛馬

POST TIME:2018-03-19 18:03

有很多人反映織夢的安全性不夠,漏洞太多,很多人都因?yàn)檫@個放棄了織夢CMS,但是要知道網(wǎng)站安全都是服務(wù)器配置、文件權(quán)限控制和網(wǎng)站程序三者的相互配合,世界上沒有絕對安全的程序,但是我們可以通過對織夢CMS網(wǎng)站程序的修改來提高安全性。

例如:“可執(zhí)行的文件不允許被修改,可寫文件不允許被訪問”這是網(wǎng)站權(quán)限控制的根本原則,網(wǎng)站程序在“可寫文件不允許被訪問”方面可做許多工作。

我們可以在如下幾個方面做好系統(tǒng)安全防護(hù):

1、修改織夢默認(rèn)的data目錄的名稱,或者移動到網(wǎng)站目錄外面

織夢的data目錄是最容易藏污納垢的地方,系統(tǒng)經(jīng)常要往這個目錄寫數(shù)據(jù),這個目錄下的任何一個文件又都可以通過URL訪問到,所以要讓瀏覽器訪問不到里面的文件,就需要將此目錄改名,或者移動到網(wǎng)站的目錄外面去。這樣,就算別人通過漏洞往文件里寫進(jìn)了一句話木馬,他也找不到此木馬所在的文件路徑,無法繼續(xù)展開攻擊。

因?yàn)镈edeCMS程序的不合理,所以data目錄改名會比較麻煩,具體做法如下:

a)將公開的內(nèi)容遷移到pub目錄(或者其它自定義目錄)下,如rss、sitemap、js、enum等,此步驟需要移動文件夾,并修改這些文件的生成路徑

b)修改引用程序目錄

c)修改data文件夾名稱,并修改include/common.inc.php文件里的“DEDEDATA”的值,再在后臺系統(tǒng)設(shè)置-參數(shù)設(shè)置里修改模板緩存目錄,即可修改完成。以后也可以按照此步驟來更改data文件夾名稱。

2、改名"dede"管理目錄名,并加固:

如果把后臺隱藏好了,即使別人獲得了你的管理員賬號、密碼,他也無從登錄。具體需該如下:

a)在/dede/config.php里,找到如下代碼:

//檢驗(yàn)用戶登錄狀態(tài) 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
}

把上面代碼,改為下面的:

//檢驗(yàn)用戶登錄狀態(tài) 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
//header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
header("HTTP/1.0 404 Not Found"); 
exit(); 
}

b)修改/dede/login.php的文件名稱,并對應(yīng)的修改/dede/templets/login.htm里的表單提交地址;

c)修改/dede/的目錄名稱;

這樣,別人在沒有登錄前,只能訪問/dede/login.php改名后的地址,訪問其他地址均會獲得404錯誤。

當(dāng)然,做了安全加固后,以后DedeCMS的更新升級也會有一些麻煩。




收縮
  • 微信客服
  • 微信二維碼
  • 電話咨詢

  • 400-1100-266