首先需要說明的是,任何程序都是有漏洞的,我們需要做好一些必要的防范,來減少由於程序漏洞造成的損失。織夢的漏洞多,這個是很多人的想法。不過大家如果做好了織夢系統的文件夾權限什么的設置,很多漏洞也是用不上的。
這些安全措施,織夢官方已經給出過很多教程了,如織夢后台中uploads等文件夾執行php文件權限的問題。今天主要說的就是Nginx下取消織夢uploads文件夾權限的問題。如果是在Apache中,可以在.htaccess中通過如下的代碼解決:
RewriteEngine on RewriteCond % !^$RewriteRule uploads/(.*).(php)$ – [F]RewriteRule data/(.*).(php)$ – [F]RewriteRule templets/(.*).(php)$ – [F]
在Nginx中,則可以編輯nginx的虛擬主機配置,在fastcgi的location語句的前面添加如下代碼:
location ~ /(images|data|uploads|templets/).*\.(php|php5|htm)?$
{deny all;}
這段代碼就取消了以上文件夾執行php和htm文件的權限,為什么要取消htm文件的執行權限呢?這個是對織夢模版防盜處理的,不然在別人知道模板目錄的情況下,可以直接下載織夢模板。關於織夢模板防盜的問題,可以參考織夢DedeCMS模板防盜的四種方法一文。
以上的安全設置只是織夢安全設置里面很小的一環,還有文件夾的權限問題,也是需要很好的去應對的。當然,無論安全做的多么好,經常備份都是必須的。