Dede作為國(guó)內(nèi)一套比較優(yōu)秀的cms，深受眾多站長(zhǎng)的喜愛(ài)，dede的簡(jiǎn)單、便捷、易上手，許多人把dede（織夢(mèng)內(nèi)容管理系統(tǒng)）作為建站的首選，正是因?yàn)槿绱擞玫娜嗽蕉?，安全?wèn)題就越多，因?yàn)檫@套cms已經(jīng)被人研究透徹了。為了防范別人的入侵，我們應(yīng)該做好網(wǎng)站的安全防范措施。具體怎么做類？您在閱讀本文之前，我相信，您肯定也在網(wǎng)上找了許多類似這樣的教程看了，那么，請(qǐng)你繼續(xù)閱讀這篇，無(wú)憂主機(jī)（m.love62.cn）小編們?cè)谌粘＞S護(hù)中總結(jié)的對(duì)dede掛馬、dedecms旁注、dedecms注入等安全設(shè)置的經(jīng)驗(yàn)，針對(duì)性一些經(jīng)過(guò)我們實(shí)驗(yàn)、確實(shí)可行的dedecms網(wǎng)站安全加固措施，以下幾個(gè)方面是防止dedecms網(wǎng)站掛馬方法，詳細(xì)部署請(qǐng)帶著您的問(wèn)題仔細(xì)往下看：

一 、網(wǎng)站安全第一道防線——網(wǎng)站管理員口令。

密碼，密碼，這個(gè)在任何地方、任何人都會(huì)說(shuō)的一個(gè)問(wèn)題，無(wú)憂主機(jī)（m.love62.cn）小編這里，依然再次強(qiáng)調(diào)，請(qǐng)你使用強(qiáng)壯密碼，請(qǐng)您重視它，否則您將受到懲戒。我們都知道，dedecms內(nèi)容管理系統(tǒng)的管理員密碼是通過(guò)MD5加密的，你知道，別人也知道。簡(jiǎn)單的md5字符串是很容易破解的，所以網(wǎng)站的密碼一定要設(shè)置足夠強(qiáng)壯，數(shù)字、字母、特殊符號(hào)組合10位以上，這樣即便網(wǎng)站管理員口令被強(qiáng)制“爆破”，這也給別人破解md5密碼加密增加難度。

二 、刪除多余組件, 避免被hack木馬注入（非常重要)

在服務(wù)器安全策略配置中，有一條原則：“最小權(quán)限運(yùn)行，就是最大的安全保障”，這條規(guī)則，同樣也適用于，指導(dǎo)個(gè)人網(wǎng)站安全策略部署，讓你的dedecms最小化運(yùn)行吧，也就是自己用什么功能就、安裝什么功能，不要的統(tǒng)統(tǒng)刪除。在dedecms中表現(xiàn)如下五個(gè)形式，請(qǐng)你根據(jù)無(wú)憂主機(jī)（m.love62.cn）的指導(dǎo)，參考配置：

1、dedecms（織夢(mèng)內(nèi)容管理系統(tǒng)）安裝完畢后，把install文件刪除掉，把后臺(tái)目錄直接改名dede改名。如果你不會(huì)做？請(qǐng)你詳細(xì)操作指導(dǎo)教程：無(wú)憂主機(jī)教你如何修改織夢(mèng)CMS（DEDE)管理員后臺(tái)登錄路徑

2、不需要的功能可以去掉，比如很多站長(zhǎng)根本用不到會(huì)員系統(tǒng)的功能，那我們就把member這個(gè)目錄刪掉，防止hack爆庫(kù)，還有special,?plus\guestbook留言板都是可以刪除的。將每個(gè)目錄添加空的index.html，防止目錄被訪問(wèn)。

3、dede管理目錄下的：

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

這些文件是后臺(tái)文件管理器，無(wú)憂主機(jī)（m.love62.cn）任務(wù)這個(gè)功能最多余，也最影響安全，許多hack都是通過(guò)它來(lái)掛馬的。它簡(jiǎn)直就是小型掛馬器，上傳編輯木馬太方便了。一般用不上請(qǐng)統(tǒng)統(tǒng)刪除。

4、SQL命令運(yùn)行器，不是人人都用的上，強(qiáng)烈建議刪除它。刪除方法：刪除dede/sys_sql_query.php 這個(gè)文件即可。避免HACK利用，sql執(zhí)行語(yǔ)句是非常危險(xiǎn)的，如果你要使用，建議您使用無(wú)憂主機(jī)提高的安全的phpmyadmin工具執(zhí)行sql命令。

5、tag功能和頂客功能的，請(qǐng)你刪除網(wǎng)站根目錄（public_html）tag.php和、digg.php和diggindex.php。

三、防止hack利用發(fā)布文檔上傳木馬

Dedecms 的Include目錄是黑客同志們非常喜歡的一個(gè)目錄，小編在日常維護(hù)中，發(fā)現(xiàn)大約有60%的dedecms網(wǎng)站的木馬都是被掛在include下面的，請(qǐng)您務(wù)必仔細(xì)閱讀如下內(nèi)容： 在include目錄下面找到config_base.php，下載到本地電腦，使用文本編輯器 打開(kāi)找到： Copy code//禁止用戶提交某些特殊變量 $ckvs = Array('_GET','_POST','_COOKIE','_FILES'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]); } } 改為下面代碼 Copy code//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(!empty($value)){ ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value); ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]); } if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]); } } //檢測(cè)上傳的文件中是否有PHP代碼，有直接退出處理 if (is_array($_FILES)) { foreach($_FILES AS $name => $value){ ${$name} = $value['tmp_name']; $fp = @fopen(${$name},'r'); $fstr = @fread($fp,filesize(${$name})); @fclose($fp); if($fstr!='' && ereg("<\?",$fstr)){ echo "你上傳的文件中含有危險(xiǎn)內(nèi)容，程序終止處理!"; exit(); } } } 四、嚴(yán)防死守網(wǎng)站目錄權(quán)限的設(shè)置，刪除php執(zhí)行權(quán)限，拒絕防止木馬的執(zhí)行 首先，無(wú)憂主機(jī)（m.love62.cn）要告訴大家，無(wú)憂主機(jī)的所有php虛擬主機(jī)都是純linux環(huán)境下的空間，那么，您可以自動(dòng)自定義站點(diǎn)目錄下的文件夾和文件權(quán)限，建議你先閱讀“linux虛擬主機(jī),linux空間站點(diǎn)目錄權(quán)限設(shè)置高級(jí)篇”了解下linux權(quán)限設(shè)置方面的知識(shí)，這會(huì)讓你少走彎路。 無(wú)憂主機(jī)不建議用戶把欄目目錄設(shè)置在根目錄， 原因：這樣進(jìn)行安全設(shè)置會(huì)十分的麻煩。在默認(rèn)的情況下，安裝完成后，目錄設(shè)置如下： 1、data、templets、uploads、a或5.3的html目錄， 設(shè)置可讀寫(xiě)，不可執(zhí)行的權(quán)限； 2、不需要專題的，建議刪除 special 目錄， 需要可以在生成HTML后，刪除 special/index.php 然后把這目錄設(shè)置為可讀寫(xiě)，不可執(zhí)行的權(quán)限； 3、 include、member、plus、后臺(tái)管理目錄 設(shè)置為可執(zhí)行腳本，可讀，但不可寫(xiě)入（安裝了附加模塊的，book、ask、company、group 目錄同樣如此設(shè)置）。 4、刪除目錄php執(zhí)行權(quán)限。這個(gè)是dedecms官方強(qiáng)烈推薦的安全防范措施，請(qǐng)你務(wù)必重視，實(shí)現(xiàn)方法見(jiàn)：無(wú)憂主機(jī)教你DEDECMS V5.7SP1取消PHP空間目錄腳本執(zhí)行權(quán)限 無(wú)憂主機(jī)（m.love62.cn）我用自己的一句話概括這樣的設(shè)置是：所有能夠執(zhí)行腳本的文件只能讀，不能寫(xiě)，能夠?qū)懭氲奈募s不能執(zhí)行腳本，這樣做的效果是盡可能的做到最嚴(yán)密的設(shè)置。至于設(shè)置的權(quán)限的方法在ftp工具上右擊“屬性”即可設(shè)置。關(guān)于權(quán)限，無(wú)憂主機(jī)（m.love62.cn）系列免被備案php虛擬主機(jī)都已經(jīng)做好策略，請(qǐng)您安裝的時(shí)候默認(rèn)權(quán)限即可，請(qǐng)不要隨意改動(dòng)默認(rèn)權(quán)限，目錄默認(rèn)權(quán)限：文件夾755，單個(gè)文件644。 五、定期掃描病毒， 利用Dede管理員后臺(tái)有個(gè)病毒掃描的功能，我們可以定期對(duì)整站進(jìn)行掃描，遇到可疑文件立即進(jìn)行處理。還有就是經(jīng)常更新官方的漏洞補(bǔ)丁。把以上做好，dede的大部分安全隱患都可以去除! 更多關(guān)于dedecmns網(wǎng)站安全設(shè)置的參考教程，強(qiáng)烈推薦您閱讀： 無(wú)憂主機(jī)總結(jié)：如何排查DEDECMS入侵和掛馬的經(jīng)驗(yàn)

加強(qiáng)DEDECMS目錄權(quán)限設(shè)置抵御入侵威脅

純Linux環(huán)境下高端免備案【香港獨(dú)立IP地址】 php空間，僅僅只需199元一年起。商務(wù)中國(guó)域名核心代理直銷50元注冊(cè)國(guó)際頂級(jí)域名

本文地址：http://m.love62.cn/dedecms/6915.html

上一篇: 無(wú)憂主機(jī)原創(chuàng)：WordPress程序中MO Widgets插件的使用說(shuō)明
下一篇: 無(wú)憂主機(jī)原創(chuàng)drupal官方技術(shù)文檔翻譯：解決 drupal訪問(wèn)白屏（訪問(wèn)空白頁(yè)面）