腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

dedecms织梦网站如何进行安全设置

0
回复
477
查看
[复制链接]

691

主题

705

帖子

3万

积分

董事

Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72

积分
31863
     紫钻仅向指定用户开放  
发表于 19-3-5 15:35:13 | 显示全部楼层 |阅读模式
织梦系统是目前开源CMS系统中,使用人数最多的系统之一,所以也被黑客们盯上了,官方对于系统的更新速度也比较慢,所以大家只能自己做好防范工作,这里AB模板网跟大家详细讲述下几种方案。! H4 q% m  _8 N# ]! K' R

  v; H, ~* l4 {* t" ~一:尽量不要使用香港、国外等虚拟空间。
4 i! l# I; ~6 ]2 N! e+ ?9 A! ~这类虚拟空间,安全性非常低,几百甚至几千个用户的网站都放在一台服务器上,一旦其中的某个网站被攻击,正好他也是织梦系统,那么你的完整就很容易被连带攻击。大家想一下,为什么你的网站才刚做,网站都没收录,百度都搜不到你,为什么黑客会知道你,并且攻击你,就是应该你被别人连带攻击了。
; D) y2 {* I; N* s# R$ S6 i6 n
6 y- Y1 x1 ]( o6 i
所以,极力推荐大家使用阿里云腾讯云等国内知名名牌的空间。像腾讯云、阿里云的服务器都是可以免费试用的。
8 N! ^# S6 O7 x$ |+ T. {
1 |- e+ N/ ~4 m% l- P  k
9 q! I9 L0 H1 V) R/ }" F& W" P3 x+ h4 Z

! j# A" ]8 [+ m8 p1 U5 c6 [" w' ], D(为了安全起见,建议先保存备份,以下教程是AB模板网的总结经验,本人也是这样设置,并且没有任何问题): x  ]$ S$ g6 s. P* Q8 C. A- ^
; [# s4 e' I0 x0 a# D
二:网站本身做好防范:
5 J4 I. w& D- g

" u, T# C0 G1 H4 ?1、修改默认后台名。
: [  ^# u5 i8 f+ s9 h打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随意修改,比如修改为[adminbuy],此时后台登陆的路径为:http://www.*****.com/adminbuy/% V) R1 e6 P! b

, }: t1 ^% j# ~0 i  f+ |4 x2、删除member文件夹(如果你没有会员功能)
+ z: i# ], ~% Q0 S1 mMember文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,就像AB模板网发布的基本都是企业站,所以并不需要会员系统,这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。: o( B- A4 w' f; z" m$ d
: ]) T/ `9 u  I! v/ \( j
3、删除special文件夹( @! N5 y0 g! C  O5 P$ f- R7 V
Special文件夹是专题的意思,AB模板网上下载的源码都没有用到这个专题页面,所以大家放心删掉好了。
3 h* r- Z" {1 @5 C* x9 v5 ?, X
) ^% a+ p' x6 j6 e! p0 n$ [4、打开plus文件夹' K5 ^) c" [! L0 X5 E6 P
留下这么几个文件,其他全部删除,参考下图;
, @3 {8 \+ Y% h5 `8 d
# @4 W+ x7 }% ^% w, ]- }4 |
) r  p9 D0 k9 ]0 i
+ l: l* p" j9 M/ N

" S9 F" f' z7 J$ t. }8 U5 V
; H, ^9 {/ t1 |' |, H+ g  |: {

0 p9 y7 C! T3 S5 z2 C2 Z) l: ^  s& g6 E/ W( T
下面我们对这几个文件做下解释,* `8 D: C% J# `4 _& ]/ f8 T
$ g3 g+ U! f1 [, }* p
Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留( A( D! o) Q) M6 G& L0 f
3 r/ \' w- o. g) w
ad_js.php  这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留
9 a4 l+ L& O  B0 Q% ?2 g/ d
" Z/ |3 b$ V+ u1 R2 h' dDiy.php  这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留3 M: ?1 G" z( g6 R; Q; o3 a8 \
, ]7 W1 {! V: H
Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留8 k; D- v  B$ n6 e
* R& V6 ~8 ^  |6 ^* P# @& T- N9 i
List.php 这动态栏目,AB模板网上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留$ I, b4 k5 R0 S& C

8 Y3 d" v0 r& o5 f5 H: `View.php 这个是动态文章,道理和list.php一样,建议保留。8 t! D3 {# {# Y$ ?

4 k! t" V$ P$ b. m4 Ycount.php 这个是文章浏览次数,建议保留。+ W9 W" P$ ?7 \) j- c; U& p) m9 n
' V! r2 s$ w3 }9 H
如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。

2 W: h5 U8 a' @) @8 K# J/ K& d$ @- {0 ~4 ^6 l4 k; q) G
DEDE 管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
  1. file_manage_control.php
    2 H0 O$ T) c& D  K8 T; I
  2. . o: z$ s4 m9 ?6 I
  3. file_manage_main.php8 k+ ^, T. D! M8 r2 H1 {) @
  4. 8 J' t' Y; v5 @$ R. x" c9 K
  5. file_manage_view.php
    5 K& }" Q  e% [: F
  6. / w4 n4 s2 ~% @. p
  7. media_add.php
    & M! {3 K2 V' Y, C) z
  8. / d; @5 i) d- z8 `' E
  9. media_edit.php
    ! w+ Q& `$ N2 m+ b; x8 b
  10. 2 G; V; G( a6 \1 x5 e" y
  11. media_main.php
复制代码
$ l. X7 i2 Z1 G, v% C$ v
, |; y) t' T, H5 t0 Y
再有:
$ Z/ L7 f# P+ r/ J
6 B/ S% t, T; S$ B0 U5 b不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。1 I# r! }& S  @  |. g

, T5 [( `4 Y6 Z3 U不需要tag功能请将根目录下的tag.php删除。" T! q$ w( V5 @# }( A
  1. 删除 dede/mytag_add.php 【自定义标记管理】) y  m6 _# ^  X: s$ z9 q

  2. & [( r" j" \8 d# E0 f" d; P
  3. 删除 dede/mytag_edit.php   【自定义标记管理】
    4 I4 p6 B8 m. G, ~1 Y
  4. # C! v9 S( c- \5 t  ~: _7 v
  5. 删除 dede/mytag_main.php 【自定义标记管理】
    3 g/ Z3 t( @# n# `
  6. 5 B+ C7 p2 H( R2 F6 `' A  c% G
  7. 删除 dede/mytag_tag_guide.php 【自定义标记管理】
    ! J  c0 g3 N; O7 s5 f$ ~9 D
  8.   `) S: N2 x9 y$ M9 |& ^
  9. 删除 dede/mytag_tag_guide_ok.php 【自定义标记管理】
复制代码

" H9 U: x2 m, F) s, J& m- v& O+ A多关注dedecms官方发布的安全补丁,及时打上补丁;下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传木马的;DedeCms官网出的万能安全防护代码,我发在文章后面,官网的要会员才能看;最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦;还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
' @1 t# u& b) V. g5 w( k4 l  V) n2 Q5 s  r4 y! h
1 `; Z7 r7 \( c6 x
三、删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。
) }/ t/ ~2 c; [. E$ _+ ?
( {/ R- [  u% P' \% x1 [$ {这里要提醒一下大家,由于我们修改了内容,所以当你网站要搬家换服务器时,这时,你把网站传到了新的空间,这时你需要再次安装,发现安装文件[install]上次删除了,不用担心,直接去官方下载一个网站的系统,复制的他的install 传到你的空间,进行安装即可,但是你要知道自己网站的编码(gbk、utf)。不然安装界面会乱码。
1 p" [( \! _( q  j) t5 _
7 Z$ Q7 Q; D2 P' L, o: t+ N8 T另外,由于我们修改后台名等其他内容,所以安装时候会出现这样的情况,这个不用担心,只是系统没找到我们这个文件夹,因为我们修改了,大家直接下一步即可,但是如果你发现全部都是红色叉叉,那就是你空间权限问题了。

! y2 L5 |* J1 C) X2 H  i5 _& N4 x. y) R7 ]' S$ n* |. B
, ^) ^* i/ K1 h: A' e7 ^( ^

' O/ L! Y# Y- |0 J
* K" Y7 D8 J/ B* Y' R. P* n. M$ L0 o/ T
四、修改用户名和密码,修改密码很简单,后台-系统-系统用户管理,点更改,然后修改即可,但是用户名默认的是admin,大家发现不能修改用户名,其实是可以的,大家按下图操作:
- `" b! {7 ?& I+ j
" Y) L, K- ^  _
) A5 u$ k+ f9 a) D4 |
. A/ |# e, _  G( p( f3 j

( H. K; \9 L, M; R& q
* G3 Q. Z) b! c1 f) J找到功能地图,
' E5 I) @3 k: k5 l3 F$ V# ^! K* c+ U/ ^8 A
(如果你是VIP,AB模板网隐藏了这一链接,大家只要直接输入链接即可:sys_data_replace.php    如:http://www.adminbuy.cn/dede/sys_data_replace.php

* ?1 `5 N8 F' u; _! b& b/ T$ V8 U& y$ p' R& H1 @

2 n- w9 h8 `/ \8 j: C  s
.
1 ~, w0 L6 y, G# x8 {: _; T
% W  K$ T) ?9 a( ], A6 p; X

$ W. `/ n/ ?4 P3 y5 P找到数据库内容替换,$ m' v+ \7 B& l

) j& ^! t, v6 Z, v! N, B
( j1 `* u$ l6 O8 ?

1 Z; D" p# G4 E
, I5 G4 a. |$ l
$ p* m, E, v( I6 y% H0 g- @新的用户名小心填错,以免不知道用户名,进不去后台。修改后,在后台退出,然后重新进后台,用新的用户名登录。& O& h% y. `3 B1 y! T6 `
3 |: G6 C7 z- e4 V
五、网站做好定期的备份工作,不要闲麻烦

% p# _& T4 G) B9 [- U, ]+ ]3 p+ y
- D0 l4 K& Q- m, z1 n7 ~9 i

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

qiuqiufa.com

网站简介

球球发,是一家 Discuz! 商业插件、风格模板、网站源码、 Discuz!运营维护技术等于一体的交流分享网站,全站95%的资源都是免费下载,对于资源我们是每天更新,每个亲测资源最新最全---球球发(如果我们有侵犯了您权益的资源请联系我们删除