如何有效防止 DedeCMS 系统被挂马?

转载 老薛主机帮助中心  2019年06月25日 17:06:52  阅读 320 次
©老午博客,本站使用的是:老薛主机,建议使用老薛主机终身7折优惠码:boke112

DedeCMS 是一个非常好的 CMS 程序,现在最新版本是 5.7。经过很多版本的升级和功能添加,DedeCMS 仍然存在很多问题。这里不是说 DedeCMS 不好,相对来说还是很好的,简单容易用,造福了许许多多中小站长。今天我们一起探讨一下 DedeCMS 的安全设置。用 DedeCMS 的朋友一定有遇到过网站被挂马的情况,不是每个页面中被添加很多链接就是 js 中被加入恶意转向。

如何有效防止 DedeCMS 系统被挂马? 老薛主机教程 第1张

有效防止 DedeCMS 系统被挂马的安全设置

1. 尽可能的使用 Linux 主机纯 PHP 空间,Windows 主机能运行 ASP 就多一份危险。

2. 安装 DedeCMS 的时候数据库的表前缀最好改一下,不要用 DedeCMS 默认的前缀 dede_,可以改成 lsd_,随便一个无规律的、难猜到的前缀即可。

3. 后台登录一定要开启验证码功能,将默认管理员 admin 账号删除或者改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。

4. 装好程序后务必删除 install 目录!

5. 将 DedeCMS 后台管理默认目录名 dede 改掉,随便改个不好猜的没规律的。

6. 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。能不用会员系统最好不要用,可以直接删除 member 会员目录,后台关闭会员功能。实在要用一定要将“是否允许会员上传非图片附件”设置为否,对用户进行严格限制,因为有很多垃圾注册机一天注册很多用户名。推荐直接删除 member 会员目录,不用会员系统。

以下一些是可以删除的目录/功能(如果你用不到的话):

  • member 会员功能
  • special 专题功能
  • company 企业模块
  • plus/guestbook 留言板

7. 针对 uploads、data、templets 三个目录做执行php脚本限制。就算被上传了木马文件到这些文件夹,也是无法运行的,所以这一步很重要一定要设置。

老午建议:免备案网站推荐使用免备案虚拟主机——老薛主机,购买老薛主机的虚拟主机、vps等产品时,请记得输入终身7折优惠码:boke112,可以终身享受7折优惠哦!千万不要直接原价购买哦!

老薛主机用户可以直接将下面的代码复制到网站根目录下的.htaccess文件中即可。

RewriteEngine on
RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]

如果你需要限制其他目录,也可以直接修改或添加规则。如果网站根目录下找不到这个文件,可以参考『老薛主机创建.htaccess文件的详细图文教程』这个教程创建。

8. 不安装来路不明的模板,或者其他需要上传到网站目录下的文件,要安装先杀毒再安装。

9. 用最新版本的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

10. 大多数被上传的脚本集中在 plus、data、data/cache 三个目录下,如果遇到被挂马的情况请仔细检查三个目录下最近是否有被上传文件。

迄今为止,我们发现的恶意脚本文件有:

  • plus/ac.php
  • plus/config_s.php
  • plus/config_bak.php
  • plus/diy.php
  • plus/ii.php
  • plus/lndex.php
  • data/cache/t.php
  • data/cache/x.php
  • data/config.php
  • data/cache/config_user.php
  • data/config_func.php等等

建议使用 DedeCMS 的用户都花一些时间做好这些设置,一般就够用了。对于其他程序,也可以参考这个设置,但不同程序的文件/目录路径会存在区别,可以自行判断,同时我们建议定期备份自己的重要数据。

您可能感兴趣的文章

腾讯云双11活动,云服务器1核2G 88元/年,2核4G3M 688元/3年,更有千元代金券礼包免费领!
文章标签:
本文地址:http://www.laow.wang/384.html
温馨提示:文章内容系作者个人观点,不代表老午博客对观点赞同或支持。
版权声明:本文为转载文章,来源于 老薛主机帮助中心 ,版权归原作者所有,如有侵权请留言告知,谢谢合作!
©老午博客,本站推荐使用:阿里云 服务器等云产品,免备案主机建议使用:老薛主机