dedecms安全防护设置经验总结
根据自己的测试,和参考了一些高手的文章,我总结了下,dedecms的安全防护要做那些设置。一、dedecms后台账号和密码的修改,这个问题我相信很多站长都知道它的重要性,这里我就不多说了。下面说下修改的3种方法。
1、在安装dedecms程序的过程中,我们把默认的管理员账号和密码修改下,不要用默认的密码。密码长度最好是在8位以上。密码设复杂一些。
2、安装的过程中如果不想做修改,那我们还可以在安装完成后在后台的系统设置—系统用户管理中修改自己的密码。这里后台的用户名不能做出修改。
3、后台的用户名我们可以在数据库的dede_admin字段中修改,数据库中我们同样也可以修改后台的密码。
二、安装完dedecms程序之后,我们一定要把更目录的install文件夹删除。这个目录在我们安装完dedecms之后就没的什么用了,但是这个文件的存在还是一个很大的漏洞。
三、管理目录,就是根目录的dede文件夹,这个文件夹的名称一定要做出修改,最好是形成MD5形式的,越长越好,大家可以自己测试一下。
四、安装dedecms过程中,数据库表明前缀要是没有什么特殊的需求,我们要把默认的dede_这样的前缀修改掉。
五、及时的关注后台的程序更新,及时的给程序打补丁。
六、服务器安全,这点是比较重要的。选一个好的服务器商,就像我们选老婆一样,一定要选个好的。如果你是独立主机,相信在搭建服务器时就考虑到了这一点。服务器上一定要安装最新版本的防毒杀毒软件,及时升级更新,并设置好服务器的安全权限,让木马找不到入侵的大门。至于如何设置,网上随便一搜一大堆;如果你是租用的虚拟主机,那就要擦亮你的眼睛仔细甄别了。现在的一些IDC代理商都是只认钱不认人的,选择好的空间商,会给你一个更安全的建站空间。即使出了什么问题,也能第一时间得到解决。要知道,站点出现的有些问题是不能拖得,特别是被恶意挂马,一步留神可能就被K站了。
七、dedecms根目录的目录权限设置。下载并安装了程序之后,首先要做的就是设置目录权限,这样即使木马突破服务器的限制,我们也让它找不到进一步破坏的路。如果你是windows主机,目录权限可以这样设置:
1、 data、templets、uploads、a目录, 设置可读写,不可执行的权限。
2、 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限。
3、 include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。此外,建议把install 目录删除并不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:SELECT, INSERT , UPDATE , DELETE,CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES 。由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
4、我们用不到的功能,删除掉这些文件不影响我们网站正常运行的文件,我们都可以把它删除掉。比如:
(1)留言板、会员等功能。
(2)后台的文件管理(管理目录下file_manage_xxx.php),不用的可以删掉,这个不是很安全,至少进了后台上传小马很方便.
(3)下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
八、FTP密码设置问题。FTP的密码设置一定要长,密码一定要多变,设的要复杂。如果你的FTP密码很简单,就容易被一些FTP弱口令软件猜中。可以自己测试下自己的FTP密码。
九、数据的备份。这个是每个站长都明白的。数据是我们的财富,我们一定要勤备份数据。这样就算是网站被黑,也能通过重装程序还原数据,将损失降低到最低。
能做到以上的这些,我相信你用dedecms搭建的网站的安全性还是不错的。不过天下间,没有绝对的安全。
还有那些地方说不对的、不完善的,希望高手能指正和批评!
本文网址:https://www.dedexuexi.com/dedejiaocheng/gzwt/732.html
本站部分文章搜集与网络,如有侵权请联系本站,转载请说明出处。
