Dedecms的普及面還是很廣的,眾多的中小站長(zhǎng)在用dede建設(shè)網(wǎng)站,它的優(yōu)點(diǎn)突出:開(kāi)源、容易、優(yōu)化簡(jiǎn)單??伤娜秉c(diǎn)卻很致命:安全性極差。究其原因,樹(shù)大招風(fēng),同時(shí)我們也要責(zé)問(wèn)dede的開(kāi)發(fā)團(tuán)隊(duì),不能拿開(kāi)源當(dāng)理由,安全性差代表了產(chǎn)品的質(zhì)量差。筆者根據(jù)自身的建站經(jīng)驗(yàn)對(duì)dede進(jìn)行一些安全設(shè)置。
1、安裝完程序或?qū)Τ绦蜻M(jìn)行升級(jí)之后,一定要把install(安裝)或update(升級(jí))文件夾刪除,這樣可以減少被攻擊的范圍。除了install文件夾外,能刪除的文件夾要看具體使用情況。比如不需要會(huì)員功能可以把member文件夾刪除,不需要專(zhuān)題功能可以刪除special文件夾,需要的話可以把special文件夾設(shè)置為可讀寫(xiě),不可執(zhí)行。另外,在安裝的時(shí)候也可以修改dede數(shù)據(jù)名的前綴。
2、把data文件夾改名,增加掛馬的程序找到你后臺(tái)路徑的難度。接著就是要把默認(rèn)的admin登陸名改掉,在這里為大家提供一個(gè)很簡(jiǎn)單的方法,就是直間寫(xiě)入sql命令,在dede的后臺(tái)管理的系統(tǒng)/SQL命令行工具里輸入語(yǔ)句:update dede_admin set userid="new userid" where id=1;這里的new userid代表了你要修改的用戶(hù)名,順便可以把密碼修改的復(fù)雜些,并可以定期修改下你的密碼甚至是登陸名,用剛才的sql語(yǔ)句。
3、設(shè)置目錄的權(quán)限,這個(gè)很重要。筆者是按照dede的后臺(tái)里的安全建議執(zhí)行的:有條件的用戶(hù)把data,templets,uploads,html,special,../images,install目錄設(shè)置為不允許執(zhí)行腳本,其他目錄禁止寫(xiě)入,系統(tǒng)將更安全。注意,這里的install刪除更安全,象筆者的網(wǎng)站不需要special的,也是刪除更安全。至于怎么設(shè)置dedecms的目錄權(quán)限,官網(wǎng)的天涯對(duì)不同的環(huán)境有具體的設(shè)置,網(wǎng)址是:http://help.dedecms.com/install-use/server/2011/1109/2124.html,大家可以根據(jù)自己的環(huán)境參考一下。除了上面建議的一些目錄外,把生成的網(wǎng)頁(yè)所在的文件夾也設(shè)置為不允許執(zhí)行腳本,這樣,整個(gè)網(wǎng)站會(huì)更安全。除了這些目錄權(quán)限的設(shè)置,data文件夾下的common.inc.php文件(Linux/Unix)設(shè)置為644或(Windows NT)設(shè)置為只讀。
4、定期檢查dedecms有沒(méi)有更新,及時(shí)打上補(bǔ)丁。有兩個(gè)途徑,一個(gè)可以在后臺(tái)點(diǎn)擊在線更新,具體見(jiàn)下圖:
更新很重要,一定要常檢查,補(bǔ)丁出來(lái)了,往往意味著一批網(wǎng)站已經(jīng)被掛木馬了。
5、針對(duì)已掛馬的情況,網(wǎng)上有很多檢查和殺毒的軟件,大家可以上百度查找。這里給大家介紹一種比較傻瓜式的方法:常備份網(wǎng)站。一旦發(fā)現(xiàn)自己的網(wǎng)站掛馬了,用文件比較工具比較備份和現(xiàn)有網(wǎng)站有差異的文件,重點(diǎn)查看。實(shí)在找不到木馬的話,可以進(jìn)行覆蓋。
網(wǎng)上關(guān)于dede的安全設(shè)置的文章很多,大家可以去看看,根據(jù)自己的實(shí)際情況進(jìn)行修改,比如把data文件夾移出web目錄等。不要安裝完dede就急著做網(wǎng)站,那可是個(gè)漏洞大集合,不做必要的安全設(shè)置,想不掛馬也難。掛馬的網(wǎng)站論你做的再好,權(quán)重再高,又有什么意義呢?其實(shí)筆者的建議是,對(duì)安全性要求高的個(gè)人站長(zhǎng),可以放棄使用dedecms來(lái)建設(shè),換用其他的系統(tǒng)。
版權(quán)聲明: 本站資源均來(lái)自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!
轉(zhuǎn)載請(qǐng)注明: dede網(wǎng)站安全設(shè)置