各位站長朋友應(yīng)該知道在2013年7月15日dede出現(xiàn)了一個很大的安全漏洞，牽連了無數(shù)站點和php空間商。在此次dede安全漏洞集體爆發(fā)事件中，不幸無憂主機(jī)也有2臺服務(wù)器收到威脅，我公司服務(wù)器維護(hù)工程師，10分鐘內(nèi)就解決了這個問題，一共發(fā)現(xiàn)6個dede站點被害。事后檢查中，發(fā)現(xiàn)這6個站點都是清一色的dedecms v5.6的老版本，而且連最基本的安全策略都沒有做，不給害才怪。而且 dede官網(wǎng)這幾天訪問也不太順暢，貌似也被坑了，這幾天觀察dede官方網(wǎng)站也在不間斷的恢復(fù)數(shù)據(jù)。今天23點的時候，我在dede官方論壇上了解最新的安全補丁信息，發(fā)現(xiàn)打不開。很是尷尬?？棄簦╠edecms）內(nèi)容管理系統(tǒng)，這個讓人又愛又恨的php開源系統(tǒng)，無憂主機(jī)不止一次提醒過大家，要隨時跟隨官方信息，即使更新版本，打安全補丁，而且無憂主機(jī)小編在此之前都發(fā)過非常多的dedecms安全配置教程，希望幫助客戶做好防范措施。很多主機(jī)商都明令禁止自己的產(chǎn)品使用dedecms系統(tǒng)，這個很是寒心。無憂主機(jī)香港免備案的系列php虛擬主機(jī)產(chǎn)品，請大家放心使用，無憂主機(jī)無論是從服務(wù)器上，還是網(wǎng)站應(yīng)用上，都發(fā)了非常大的精力針對dedecms系統(tǒng)進(jìn)行優(yōu)化和預(yù)防。大家可以放心使用。今天無憂主機(jī)小編就繼續(xù)針對這次dedecms安全事故，給大家?guī)韉edecms教程。進(jìn)一步給大家介紹一下如何加強(qiáng)dedecms網(wǎng)站安全建設(shè)。   第一、安裝的時候數(shù)據(jù)庫的表前綴，最好改一下，不用dedecms默認(rèn)的前綴dede_,可以改成123_,隨便一個名稱即可。 第二、密碼，這個在任何地方、任何人都會說的一個問題，無憂主機(jī) 小編這里，依然再次強(qiáng)調(diào)，請你使用強(qiáng)壯密碼，請您重視它，否則您將受到懲戒。我們都知道，dedecms內(nèi)容管理系統(tǒng)的管理員密碼是通過MD5加密的，你 知道，別人也知道。簡單的md5字符串是很容易破解的，所以網(wǎng)站的密碼一定要設(shè)置足夠強(qiáng)壯，數(shù)字、字母、特殊符號組合10位以上，這樣即便網(wǎng)站管理員口令 被強(qiáng)制“爆破”，這也給別人破解md5密碼加密增加難度。 第三、裝好程序后務(wù)必刪除install目錄 第四、請直接刪除“install”目錄，留著無用，而且還有會禍害網(wǎng)站安全，刪了吧！刪除系統(tǒng)安裝程序，這個操作時安裝所有php開源程序的共性 第五、用不到的功能一概關(guān)閉，比如會員、評論等，如果沒有必要通通在后臺關(guān)閉。 第六、嚴(yán)防死守網(wǎng)站目錄權(quán)限的設(shè)置，刪除php執(zhí)行權(quán)限，拒絕防止木馬的執(zhí)行,以下是可以刪除的文件： 管理目錄下的這些文件是后臺文件管理器，屬于多余功能，而且最影響安全,許多HACK都是通過它來掛馬的

  再有： 不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。 不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除。 1、data、templets、uploads、a或5.3的html目錄， 設(shè)置可讀寫，不可執(zhí)行的權(quán)限； 2、不需要專題的，建議刪除 special 目錄， 需要可以在生成HTML后，刪除 special/index.php 然后把這目錄設(shè)置為可讀寫，不可執(zhí)行的權(quán)限； 3、 include、member、plus、后臺管理目錄 設(shè)置為可執(zhí)行腳本，可讀，但不可寫入（安裝了附加模塊的，book、ask、company、group 目錄同樣如此設(shè)置）。   4、刪除目錄執(zhí)行權(quán)限。這個是官方強(qiáng)烈推薦的安全防范措施，請你務(wù)必重視，實現(xiàn)方法見：無憂主機(jī)教你取消PHP空間目錄腳本執(zhí)行權(quán)限 無憂主機(jī)（m.love62.cn）我用自己的一句話概括這樣的設(shè)置是：所有能夠執(zhí)行腳本的文件只能讀，不能寫，能夠?qū)懭氲奈募s不能執(zhí)行腳本，這樣做的效果是盡可能的做到最嚴(yán)密的設(shè)置。至于設(shè)置的權(quán)限的方法在ftp工具上右擊“屬性”即可設(shè)置。關(guān)于權(quán)限，無憂主機(jī)（m.love62.cn）系列免被備案php虛擬主機(jī)都已經(jīng)做好策略，請您安裝的時候默認(rèn)權(quán)限即可，請不要隨意改動默認(rèn)權(quán)限，目錄默認(rèn)權(quán)限：文件夾755，單個文件644。 5、dede管理目錄下的： 這些文件是后臺文件管理器，無憂主機(jī)（m.love62.cn）任務(wù)這個功能最多余，也最影響安全，許多hack都是通過它來掛馬的。它簡直就是小型掛馬器，上傳編輯木馬太方便了。一般用不上請統(tǒng)統(tǒng)刪除。 第七、多關(guān)注dedecms官方發(fā)布的安全補丁，及時打上補丁。 第八、下載發(fā)布功能（管理目錄下soft__xxx_xxx.php），不用的話可以刪掉，這個也比較容易上傳小馬的. 第九、Dedecms官網(wǎng)出的萬能安全防護(hù)代碼,登錄dedecms官網(wǎng)論壇查看. 第十、最安全的方式：本地發(fā)布html，然后上傳到空間。不包含任何動態(tài)內(nèi)容，理論上最安全，不過維護(hù)相對來說比較麻煩。 十一，還是得經(jīng)常檢查自己的網(wǎng)站，被掛黑鏈?zhǔn)切∈拢粧炷抉R或刪程序就很慘了，運氣不好的話，排名也會跟著掉。所以還得記得時常備份數(shù)據(jù). 如果做好以上十一點的話，相信您的網(wǎng)站基本上就碉堡了，黑客想要入侵也不是那么容易的了。 相關(guān)文章推薦：dedecms怎么去掉power?by?dedecms

本文地址：http://m.love62.cn/dedecms/11773.html

上一篇: dedecms如何用利用2013年7月最新補丁修復(fù)安全漏洞的方法
下一篇: Dedecms v5.6怎么升級到v5.7 sp 最新教程【圖文教程】