DEDECMS安全性终极设置,目录的权限,删除多余功能,虚拟主机/空间配置,DedeCMS的目录结构,可以移出data

本文是刚学DEDE时收集的,不知道是哪位大侠的作品了,总之这里先感谢下!

DEDECMS安全性终极设置 

1、需要设置 可读写不可执行 的目录为:data、templets、uploads、a目录;
2、需要设置为 可读可执行不可写入 的目录为:include、member、plus、后台管理目录(默认dede)、模块目录book、ask、company、group……
3、不需要 会员、专题的,可以直接 删除 member、special 目录,或者重命名;
4、已经安装好dedecms的直接删除install目录;
5、MySQL用户千万别给root权限,应设置为:SELECT, INSERT , UPDATE , DELETE、CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES;
6、管理员帐号密码尽量复杂些,md5网站破解不出为妙,发布文章请新建并使用一个信息发布员权限用户。
7、定期备份网站目录和数据库,并进行木马查杀,脚本特征码。

data、templets、uploads目录的权限—–可读写不可执行

include、plus、upup的权限——可读可执行不可写入

data/common.inc.php 只读 

第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。
第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。
第三、装好程序后务必删除install目录
第四、将dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plus\guestbook留言板

以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
file_manage_control.php 
file_manage_main.php 
file_manage_view.php 
media_add.php 
media_edit.php 
media_main.php

很多所谓的“黑客”都是用工具来扫描入侵,厉害点的人是不屑来黑我们的小网站的,所以我们一般做好安全防护就可以了。
以下是我收集整理的内容:

第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。
第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。
第三、装好程序后务必删除install目录
第四、将dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plus\guestbook留言板

以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php

再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码,我发在文章后面,官网的要会员才能看.
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。 
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.

虚拟主机/空间配置

在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
规则内容如下:

1 RewriteEngine on  RewriteCond % !^$   

2 RewriteRule uploads/(.*).(php)$ – [F]   

3 RewriteRule data/(.*).(php)$ – [F]   

4 RewriteRule templets/(.*).(php)$ – [F] 

 
针对uploads,data,templets 三个目录做了执行php脚本限制;
将如上内容存储至到.hatccess文件中,将该文件存放到你的站点根目录下,
这样,目录脚本的执行权限就控制好了。

DedeCMS开源免费拥有强大的用户量,频繁被人爆出漏洞,这并不是说dedecms安全问题解决不了,合理地通过设置脚本执行与目录写入权限,完全可以减少风险甚至杜绝被挂马,首先我们先来了解一下DedeCMS的目录结构:
 

a                               默认的静态HTML生成目录,

data                         DedeCMS缓存与一些临时数据目录

dede                        后台管理目录

images                    图片目录

include                    DedeCMS系统库目录

install                      安装文件目录

member                 用户 个人中心

plus                        插件目录

special                   专题HTML生成目录

templets                 模板目录

uploads                 默认的上传目录
 

DedeCMS各个目录的功能解释:

1、a  因为是静态目录,并且在要生成HTML的,所以拒绝脚本执行  充许写入
2、data   因为是缓存等,所以充许写入,但是因为这里面的文件引入到其它地方进行使用,所以要拒绝脚本执行
3、dede  后台管理目录,并且这个一般情况下不需要修改,所以充许脚本执行,拒绝写入
4、images   仅是存系统图片, 所以拒绝脚本执行,拒绝写入
5、include  虽然这个目录有系统库,一般情况下也是引入到其它地方使用,但是也有一些文件需要执行,比如验证码,但是一般不需要修改。所以允许脚本执行,拒绝写入。
6、install  这个目录在系统安全完之后,直接delete。 系统部署之后,这个文件夹就没有用了
7、member  如果不使用会员系统,这个目录夹也可以直接删除。
8、plus  这个插件目录,不需要修改的,允许脚本执行,拒绝写入
9、special   这个专题文件夹,一般我们会改名。与a目录一样,拒绝脚本执行,充许写入
10、templets 这相模板目录,拒绝执行,拒绝写入。黑客主要想改的就是它,所以一定要写入,虽然拒绝写入之后,比较麻烦,如果修改模板,要先充许写入,再修改再去拒绝写入,但是不要嫌麻烦,毕竟为了安全嘛。
11,uploads  上传目录,不用说必须拒绝脚本,充许写入,一个不小心,黑客就给你上传个木马上来了,。

除此之外,还有一些需要做的,就是修改后台dede的目录名,减少一个风险,还有就是将data目录根目录之外,这也是官方要求做的,但是不得不说,这会带来很多问题,比如访问根目录下面的index.php会了错,三级联动也会出错。  index.php 可以通过修改代码解决,如果你不需要三级联动功能,可以移出data。

操作方法:
1、修改/include/common.inc.php  
将 define(‘DEDEDATA’, DEDEROOT.’/data’);  
改成:  define(‘DEDEDATA’, DEDEROOT.’/../data’);
2、到后台系统基本设置->性能选项 里面设置 模板缓存目录为 /../data/tplcache
或者直接进dede_sysconfig 里面修改 cfg_tplcache_dir 的值为 /../data/tplcache

 dedecms系统程序plus 目录里的很多功能,是一些压根用不到的插件,不需要的插件可以删除。

Tags: , , , , ,

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • Twitter
  • RSS

Leave a Reply

You must be logged in to post a comment.

文字链