鏈接:https://zhuanlan.zhihu.com/p/22101340
來源:知乎
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。
目前織夢是企業建站用得比較多的一個CMS系統,但是織夢的安全性又讓很多企業望而止步。其實,只要做好網站安全防護工作,根本不用擔心網站被黑。
下面我將分站外和站內兩個部分來講解防止織夢(dedecms)網站被黑的技巧:
一、網站站外安全防護,主要是域名和空間(服務器)的安全
1、域名。域名是網站的入口之一,也是網站被黑的一個切入口,如果域名出了問題,網站就不能打開了。那么怎么保證域名的安全呢?
(1)選擇正規靠譜的注冊商
(2)域名注冊的信息務必如實填寫
(3)盡量使用域名商提供的正規DNS解析,慎用免費DNS解析
2、空間服務器安全措施
(1)安全組合:安全狗(服務器及網站防護)+百度雲加速(WEB常規防護和訪問加速)+百度雲觀測(網站安全預警和日常監測)
(2)使用雲防護工具:建議選擇百度雲加速
(3)通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序
(4)日常要多維護,並注意空間中是否有來歷不明的文件
二、網站站內安全防護
1、修改織夢默認的后台目錄文件夾(dede)的名稱,可以修改為其他的字母或字母與數字色組合(比如chaoyongseo),修改后網站后台的登陸地址為:域名/chaoyongseo
2、如果網站用不到會員等功能的話的話,建議刪除member、install、special文件夾
3、data/common.inc.php數據庫連接文件 禁止寫入與執行,只允許讀取模板
4、將/data/文件夾移到Web訪問目錄外,這條是dedecms官方建議,具體操作方法如下:
(1) 將/data/文件夾移至web根目錄的上一級目錄
(2)修改/include/common.inc.php中DEDEDATA變量,將:define('DEDEDATA',DEDEROOT.'/data'); 改為define('DEDEDATA',DEDEROOT.'/../data');
(3)修改/index.php,刪除如下代碼(注:如首頁生成靜態且index.html索引優先於index.php可忽略此條修改。):
if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
{
header('Location:install/index.php');
exit();
}
(4)配置tplcache緩存文件目錄:登陸后台 > 系統 > 系統基本參數> 性能選項,將模板緩存目錄值改為/../data/tplcache
5、include和plus 文件夾禁止寫入
/plus/是dedecms漏洞高發目錄,隱藏/plus/路徑可防范該目錄下文件產生的未知漏洞的利用,如需使用該目錄下某個文件,可在.htaccess中添加相關規則實現白名單功能。
示例:假設plus目錄名修改為/chaoyong/,網站需要使用后台欄目動態預覽(路徑:http://域名/plus/list.php?tid=欄目編號)和發布跳轉文章(路徑:http://域名/plus/view.php?aid=文章編號)的功能,則可在.htaccess添加如下代碼:
RewriteEngine On
RewriteCond%{QUERY_STRING} ^tid=(\d+)
RewriteRule^plus/list.php$ /chaoyong/list.php$1 [L]
RewriteCond%{QUERY_STRING} ^aid=(\d+)
RewriteRule^plus/view.php$ /chaoyong/view.php$1 [L]
6、注意網站備份,包括網站文件的備份和數據庫的備份。
網站文件的備份可以到空間服務器管理后台,使用文件壓縮功能,把網站整站壓縮了,然后通過FTP工具下載下來;
數據庫備份需要登錄網站管理后台,打開“系統-數據庫備份/還原”,點擊“提交”即可。