织梦dedecms安全防护措施大全

李飞博客
256
文章
4
评论
2015年11月16日16:45:56 1 1,466 views 4886字阅读16分17秒

很多同学遇到网站被攻击挂马,大都不是竞争对手所为。多数情况下是黑客利用工具批量扫描入侵的。因此安全防护自关重要。

织梦安装时注意:

修改默认数据库前缀:

在dedecms安装的时候修改下数据库的表前缀,尽量不用默认的前缀dede_ ,随便改个其他的英文字母小写命名即可。以防止黑客猜到。

安装后去除所有再带后门和漏洞

1.修改默认后台路径:

作用:是防止黑客猜到你的后台,进行其他操作。
进入网站根目录,就能看到dede文件夹,重命名即可。比如改为lifei
这个时候访问后台就
不是:
你的域名/dede
例如:lifei/dede

而是:
你网站域名/lifei
例如:blog.websem.cc/lifei

 

2.搜索”login_ad.htm”文件。

位置“根目录\dede后台文件夹\templets\login_ad.htm ”删除如下这一段:

<!--<script type="text/javascript" src="<?php echo $updateHost;?>/dedecms/loginad.<?php echo $cfg_soft_lang; ?>.js"></script>-->
 <div class="dede-ad">
 <ul>
 <script type="text/javascript"src="http://ad.dedecms.com/adsview/?action=single&key=admcploginad&charset=gbk"></script>
 </ul>
 </div>

 

3.搜索”index_body.htm”文件。

位置“根目录\dede后台文件夹\templets\index_body.htm” 删除如下这一段:

<iframe name="showad" src="index_body.php?dopost=showad" frameborder="0" width="100%" id="showad" frameborder="0" scrolling="no"  marginheight="5"></iframe>

 

4.搜索“module_main.php”文件

文件“根目录\dede后台文件夹\module_main.php”注释掉这两段,他们会向dedecms官网发送卸载或安装插件的信息,如果你的服务器不是很好,或 不支持采集(下载),那么会卡死!去掉。

321行//    SendData($hash);
527行//    SendData($hash,2);

 

5.搜索”flink.lib.php”文件

文件“根目录\include\taglib\flink.lib.php”去除从这里开始的这一段,因为如果你的网站空间配置不太好或者甚至不支持采集,那么很可能卡死:

 else if($typeid == 999)
{
}

 

6.搜索”dedemodule.class.php”文件

文件“根目录\include\dedemodule.class.php”为什么管理模块总是打不开的原因,在于这里,每30分钟向官网检测一次版本,所以你的网站不支持采集或配置太低,卡死!

if(file_exists($cachefile) && (filemtime($cachefile) + 60 * 30) > time()) 修改为 if(file_exists($cachefile) && filesize($cachefile) > 10)

 

7.搜索”dedesql.class.php”文件

文件“根目录\include\dedesql.class.php”去掉这一段,他会给网站加友情链接:

$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);
 $arrs2 = array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,
 0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72,
 0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20,
 0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);
  //特殊操作
   if(isset($GLOBALS['arrs1']))
   {
   $v1 = $v2 = '';
   for($i=0;isset($arrs1[$i]);$i++)
   {
   $v1 .= chr($arrs1[$i]);
   }
   for($i=0;isset($arrs2[$i]);$i++)
   {
   $v2 .= chr($arrs2[$i]);
   }
   $GLOBALS[$v1] .= $v2;
   }

 

8.修改dede数据存放默认文件夹

修改 data文件夹名称为 data#7080,这一步非常关键。
织梦DEDECMS系统的data目录主要是基本配置文件和缓存数据的文件夹,通常是网站入侵的主要对象。
之后在data#7080 文件夹中加入 .htaccess ,文件内容 deny from all。
之后需要修改首页文件/index.php,全局公用引入文件/include/comm.inc.php ,将/data其中的/data全部替换为 /data#7080。
之后修改整个项目文件中的/data,勾选“匹配整个词语”,替换为 /data#7080。
(注意,如果没有将/include/data 目录改名为 /include/data#7080,那么需要手动检查替换,以免错误)。

删除没有必要的文件以防止攻击

删除 根目录下的 install 文件夹
删除 根目录下的 member文件夹会员功能
删除 根目录下的 plus 文件夹下除 list.php view.php count.php之外的其他所有php文件!
删除 根目录下的 special专题功能
删除 根目录下的 company企业模块

管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的。

 

进入后台进行安全操作

后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。

用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。

其他注意事项

1、多关注dedecms官方发布的安全补丁,及时打上补丁。
2、DedeCms官网出的万能安全防护代码,我发在文章后面,官网的要会员才能看.
3、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
4、还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
5、将一些目录禁止执行脚本,例如 uploads、静态生成目录等
6、对于后台需要执行的php目录,设置禁止网站匿名用户,具有写入权限。

 

织梦系统升级—不影响网站模板

织梦升级最新教程Dedecms v5.6升级到dedecms v5.7 sp1

升级也是防护黑客漏洞攻击最佳的方式。尽管很多人已经在用dede5.7sp1版本了,但还是要了解一下升级的过程为下一次更新做准备。

 

1、下载升级文件:

进入dedecms官网:点击栏目页产品,再点击右上角软件下载。这里我们以GBK版本为例。
www.dedecms.com/products/dedecms/downloads

 

dedewenjianguanfangxiaz

 

2、解压出来后得到以下目录:

dede5.7wenjianjieya1

 

说明中这样的写道:

DedeCMS V5.6 升级 V5.7SP1程序
==============================
1.升级前做好系统文件和数据库的备份工作,我们建议您在本地测试环境进行升级;
2.解压后将升级程序中dede文件目录更改为你当前管理后台目录,将所有文件上传覆盖;
3.打开 http://你的网站/update/index.php 按照提示说明进行升级;
4.删除update文件完成本次升级;

 

3.进行数据库及文件的备份

数据库备份登录系统后台,进入[系统]->[数据库备份/还原]界面,然后点击”提交”按钮,对当前数据表进行备份

dedeshujukubeifen

 

备份好的数据文件会保存在/data/backupdata/目录中,然后下载到本地保存。同时把网站根目录下的templets目录下载到本地保存。因为这个是模板目录。

 

4、上传升级文件

将网站目录除了uploads目录外全部清空(uploads里有网站的图片,就不删了,注意后面上传5.7sp1时就不用上传uploads这个目录了),然后上传最新的dedecms5.7 SP1到网站目录下。

 

5、执行安装

安装完成后,上传本地/data/backupdata/目录下的所有文件到主机的/data/backupdata/目录下,同时上传本地的templets覆盖新的网站templets目录。

 

6、还原数据

进入新的5.7后台,在“系统”-》“数据库备份/还原”处点击“数据还原”,还原数据库

 

7、更新网站

更新网站后检查上文的安全设置,再重新操作一遍。

 

 

织梦升级一些其他问题

从DedeCMS 5.6升级至 DedeCMS5.7SP1后,后台的文档列表不显示类目和发布人这个问题的解决办法
方法很简单,可以通过以下两步方法进行解决:

首先、清空/data/tplcache 文件夹中的所有缓存文件,清空后发布人应该会显示了。
其次、删除/data/cache/inc_catalog_base.inc 该文件,清空后类目应该会显示了。

织梦DedeCMS添加变量报错Request var not allow!的解决办法:
在DEDE根目录打开 include/common.inc.php 文件,查找到以下内容:

 //检查和注册外部提交的变量
 function CheckRequest(&$val) {
 if (is_array($val)) {
 foreach ($val as $_k=>$_v) {
 CheckRequest($_k); 
 CheckRequest($val[$_k]);
 }
 } else
 {
 if( strlen($val)>0 && preg_match('#^(cfg_|GLOBALS)#',$val) )
 {
 exit('Request var not allow!');
 }
 }
 }

将以上内容替换成以下内容:

//检查和注册外部提交的变量 
 function CheckRequest(&$val) {
 if (is_array($val)) {
 foreach ($val as $_k=>$_v) {
 if($_k == 'nvarname') continue;
 CheckRequest($_k); 
 CheckRequest($val[$_k]);
 }
 } else
 {
 if( strlen($val)>0 && preg_match('#^(cfg_|GLOBALS)#',$val) )
 {
 exit('Request var not allow!');
 }
 }
 }

如果自己搞不定需要远程服务,那么你可以加入下面qq群或者添加群主 解决问题。

太原SEO建站交流人脉群:网站排名优化学习交流 (未满)

继续阅读
weinxin
我的微信
把最实用的经验,分享给最需要的读者,希望每一位来访的朋友都能有所收获!
广告也精彩
  • 文本由 发表于 2015年11月16日16:45:56
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
网站分析诊断 网站SEO诊断 网站优化诊断服务
网站建设
百度seo排名优化
网站运营推广
自己如何免费做网站? 网站建设

自己如何免费做网站?

李飞SEO,提供免费建站咨询,付费技术支持! 建网站总费用 总结一下,建网站的总费用如下: 域名(几十)+服务器(几百或几千/年)+ 程序(0元)+ 人工费用 + 定制费用 + 营销费用。 个人建网站...
CRMEB知识付费v1.2功能更新 网站建设

CRMEB知识付费v1.2功能更新

一,新增功能更新 ● 新增签到功能    签到获取金币    生成签到海报 ● 新增直播带货功能 ● 新增活动报名功能     后台设置需要填写的报名信息     支持免费报名、付费报名两种形式   ...
CRMEB知识付费v1.11功能更新 网站建设

CRMEB知识付费v1.11功能更新

CRMEB知识付费v1.2功能更新 1、新增付费图文、付费音频、付费专栏 1)新增图文素材管理、图文专题管理 2)新增音频素材管理,音频文件上传、音频专题管理 3)新增专栏管理,可添加图文、音频、付费...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:1   其中:访客  1   博主  0
    • avatar 寇玉鑫博客 1

      dede太容易让黑了