DEDE网站安全防护

2018-05-15 09:19 评论 0 条

管理员密码一定要长,而且字母与数字混合,尽量不要用admin,初次安装完成后将admin删除,新建个管理员名字不要
太简单。织梦系统数据库存储的密码是MD5的,一般HACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。也是无奈。但现在的MD5破解网站太过先进,4T的硬盘全是MD5密码,即便你的密码很复杂有时候都能被蒙上。

DEDE网站安全防护
我之前的站点就是这么被黑的。所以一定密码够复杂。
1、 修改DEDE默认的网站后台管理地址,请一定要将/dede,目录改名,并且为复杂用户名,并记住它。众所周知,dede
默认管理后台都是,“域名/dede”,黑客是最新喜欢这种不修改默认登录地址的网站了,多省事。

2、 请直接删除“install”目录,留着无用,而且还有会祸害网站安全,删了吧!删除系统安装程序,这个操作时安装
所有php开源程序的共性,如joomla安装完毕后,如果不删除安全目录(installation)是无法打开网站首页的,我认为
DEDE官方开发团对可以借鉴这个经验。

3、 Dede安装前你是否计划过,你需要dede的那些功能系统?如果你没有?那么现在就开始,将不需要的功能系统都删
除,在这里我引用前文“Joomla!建站SEO优化误区(joomla建站seo建议)”中的一段话“简化你的网站模板,减少网站功
能”,功能最小化安装使用dede系统(在满足自己需求前提下),是你安全使用dedecms系统的前提。所有PHP开源程序安
全设置都有相通之处,要学会举一反三。你不妨可以学习本站其它开源系统的网站安全设置经验。

下面是我整理出的一些dede站点目录的位置,如果你不熟悉dedecms系统站点目录结构你可以参照设置:

/member 会员功能模块

/special专题功能

/install安装程序

/company企业功能模块

/plusguest/book 留言板

其它模块,也可以不要就删除它,上面红色标记的,我已经在php空间安装并做了测试确认可以直接删除,不会影响dede正常运行,其余的文件用户可以参考官方文档操作。最好是在安装DEDE系统前有计划的,选择不安装,省掉后期的麻
烦。我再次特别强调/install安装程序,强烈删除它。

dede网站安全防护

4、 密码一直是我很揪心的问题,我在前面写joomla开源cms系列文档中都特别多次强调过,强壮密码,一定需要一个强
壮的密码才能起到保护网站安全的作用,否则就是一个灾难。如果黑客通过注入,获取到管理员密码的MD5加密代码,然
后反向编译MD5代码,是不是会瞬间瓦解你的网站?所以,请设置一个强壮的密码吧,强壮到让它无法反向编译你的密码
。请不要小觑了黑客通知的实力。

5、 黑客同志最喜欢的目录?

黑客同志最喜欢的目录,就是dede管理员目录/dede,dedecms后台的文件管理器就在这里,这里经常被黑客同志所利用,
用它来挂马,这也就是为什么在本文第一条就要强调要修改dede的网站管理地址的原因。黑客可以利用如下红色字体文件
,进行上传木马。这也是黑客为什么乐此不疲的不断寻找dede后台管理地址的原因了。

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php media_edit.php

media_main.php

请删除红色字体文件一切为了安全。在测试挂马注入点的时候,还发现dede/sys_sql_query.php,tag.php,digg.php,diggindex.php 都是有效的网马注入点,用户可以根据网站需要删除。这些都是黑客喜欢利用、挂马的文件。其中DEDE后台的SQL命令运行器,是我们常忽视的地方,如果不常用,或根本不用,毫不犹豫删除它。

关于dedecms安全设置就到此结束,希望对织梦建站的朋友有帮助。

版权声明:本文著作权归原作者所有,欢迎分享本文,谢谢支持!
转载请注明:DEDE网站安全防护 | 小韩SEO
分类:seo优化方案 标签:

发表评论

您必须 登录 才能发表留言!