php不建议用织梦cms,你不得不知的织梦cms安全性设置常识 - DeDecms
你不得不知的织梦cms安全性设置常识
用过织梦cms的朋友了,这里就不多说了,织梦cms相对来说还是比较简单易用的,至于织梦cms的安全性如何,是否存在漏洞,这个问题来讲是不可避免的,当然了,这里也不是说织梦cms不好,再强大的开源系统,存在漏洞也是可能的,关键问题是,存在漏洞,我们如何解决,在织梦的安全性问题上,我们又该如何是好,找到解决办法才是根本.
思源曾在《织梦cms网站安全性如何设置?》一文中,简短概述了织梦cms安全性设置的一般做法,在此,针对织梦cms安全性问题上,再补充一些,希望对用织梦建站的站长朋友们一些帮助.
织梦cms安全性设置【加强版】
1、安装dedecms时,数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可.
2、织梦cms后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合.
3、装好程序后务必删除install目录.
4、将dedecms后台管理默认目录名dede改掉,改复杂一点的目录.
5、用不到的功能一概关闭,比如会员、评论等功能,如果没有必要通通在后台关闭.
6、以下一些是可以删除的目录/功能(如果你用不到的话):member(会员功能)、special(专题功能)、company(企业模块)、plus\guestbook(留言板).
迄今为止,我们发现的恶意脚本文件有:plus/ac.php、plus/config_s.php、plus/config_bak.php、 plus/diy.php、plus/ii.php、plus/lndex.php、data/cache/t.php、data/cache /x.php、data/config.php、data/cache/config_user.php、data/config_func.php等等;
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件.
7、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险.
8、后台登录管理不要用admin为用户名 可以改成其他的。
9、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读.
10、针对uploads、data、templets 三个目录做执行php脚本限制.
11、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装.
12、用最新版的织梦cms程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁.
13、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能,实在要用一定要设置是否允许会员上传非图片附件设置为否对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名.
虚拟主机/空间配置目录执行php脚本限制方法:Apache环境和nginx环境的两种设置方法
对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的,所以这一步很重要,一定要设置.
在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果.
1、Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中.
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]
2、nginx环境规则内容如下:nginx执行php脚本限制
LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险,建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误,首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:
location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
deny all; //开源软件:phpfensi.com
}
这些针对织梦cms系统安全问题做出的一些举措,也差不多够用了,用织梦cms的朋友多费点心,毕竟建立一个网站也不容易,要想运营好更不容易,谁也不想自己的网站受到危险,那就从基本做起,做好网站的安全设置,避免不必要的麻烦.
php不建议用织梦cms,你不得不知的织梦cms安全性设置常识 - DeDecms相关推荐
- 织梦网站调用变量失败_织梦dedecms无法调用新添加变量的解决办法
织梦dedecms无法调用新添加变量:在项目中使用了几次织梦cms程序,感觉越来越好用,以前刚接触dedecms时一看后台界面,如此之乱,使我心乱如麻,不知从何下手.后来因为工作逐渐就熟悉了它的后台. ...
- 织梦php开发tags功能开发,织梦二次开发模板新建PHP页面支持系统标签
这篇文章主要为大家详细介绍了织梦二次开发模板新建PHP页面支持系统标签,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借鉴. 有的时候我们在用织梦系统做二次开发建设织梦 ...
- 织梦没有common.inc.php,做织梦二次开发时引入公共文件common.inc.php的方法
织梦的用户是非常多的,如果我们随便在网上搜索一下的话,你会发现用的人非常的多,其中还包括很多的企业在用织梦系统,虽然织梦dedecms系统功能比较丰富,但是,有时候总是不能满足个别企业或个人的要求,这 ...
- 织梦html地图源码,织梦网站XML地图制作_织梦网站HTML地图制作
XML网站地图制作 在织梦后台管理目录 核心 > 频道模型 > 单页文档管理 中即可实现. 先做好网站地图模板页,注意:如果网站启用了绝对地址直接使用[field:arcurl/]或者 h ...
- 国产php cms,PHPCMS关站倒下,国产CMS系统还能走多远
2020年是中国的庚子年,同时也注定了是不寻常的一年.最近阿南接手了几个用phpcms搭建的网站,phpcms绝对可以说是国产老牌知名CMS系统了,相对比织梦CMS来说,它的安全性更高,语法标签也更为 ...
- 苹果cms V8/V10定时任务百度主动URL推送设置教程 配合宝塔定时计划任务
一淘模板(56admin.com)给大家带来一个苹果cms V8/V10定时任务百度主动URL推送设置教程 配合宝塔定时计划任务 教程主要分为3步走: 获取百度token(这一步直接复制网上的) 苹果 ...
- 思途cms php文件说明,思途旅游CMS系统二次开发说明文档(v5.0).pdf
思途旅游CMS系统二次开发说明文档(V5.0) 思途旅游CMS系统二次开发说明文档(V5.0) 思途CMS系统5.0版本相比之前 v3.0/v4.0的版本相比,主要变化在于前端PC网页和手机采用koh ...
- python10-宝可梦数据分析-平民最强宝可梦系列(从0-1数据分析实战)
宝可梦数据分析-平民最强宝可梦选择方案 快来和我一起选择属于你最强的宝可梦吧 数据时代的到来刷新了人们探索未知的方式,从基础能源建设到航天航空工程.在关都地区真新镇大木研究所一直孜孜不倦对精灵宝可梦进 ...
- 红楼梦人物分析系统c语言,红楼梦人物分析.doc
红楼梦人物分析 摘要:<红楼梦>是我国小说发展史上的艺术高峰,它不仅以情节的曲折紧张取胜,而且以细节描写的丰富.细腻.生动.深刻见长.其高度的写人艺术技巧更令人叹为观止.曹雪芹运用表现艺术 ...
最新文章
- JAVA ssm b2b2c多用户商城系统源码 (十二)springboot集成apidoc
- hadoop(3)——yarn查看方式
- iBATIS.NET 学习笔记(八)
- UVA1225 Digit Counting
- 学计算机信息管理专业的感谢,计算机信息管理专业工作求职信
- 阿里巴巴CTO王坚:省长也是开发者
- quartz集群分布式(并发)部署解决方案-Spring
- springmvc中@PathVariable和@RequestParam的区别(百度收集)
- 天天生鲜项目需求分析——基于Django框架的天天生鲜电商网站项目系列博客(一)...
- 【嵌入式】牧马人G3 电子竞技鼠标拆解分析
- VirtualBox NAT网络实现 PXE 启动
- TUIO+激光投影互动
- 简单创意思维导图绘制教程分享
- 元素滚动 scroll 系列
- 学生信息管理系统(头哥适用版)(c语言)
- 【直观详解】线性代数的本质
- 【实例】用PHP制作一个简单的日历
- pycharm新建工程流程
- su:密码正确,但权限被拒绝
- 如何管理和使用哪些命令操作MySQL数据库?(基本操作,SQL语言,DDL,DML,DQL,DCL,Windows字符和图形界面MySQL安装)