修改DedeCMS目录增强安全防止网站挂马

有很多人反映织梦的安全性不够,漏洞太多,很多人都因为这个放弃了织梦CMS,但是要知道网站安全都是服务器配置、文件权限控制和网站程序三者的相互配合,世界上没有绝对安全的程序,但是我们可以通过对织梦CMS网站程序的修改来提高安全性。 例如:可执行的文

有很多人反映织梦的安全性不够,漏洞太多,很多人都因为这个放弃了织梦CMS,但是要知道网站安全都是服务器配置、文件权限控制和网站程序三者的相互配合,世界上没有绝对安全的程序,但是我们可以通过对织梦CMS网站程序的修改来提高安全性。

 

例如:“可执行的文件不允许被修改,可写文件不允许被访问”这是网站权限控制的根本原则,网站程序在“可写文件不允许被访问”方面可做许多工作。

 

我们可以在如下几个方面做好系统安全防护:

 

1、修改织梦默认的data目录的名称,或者移动到网站目录外面

织梦的data目录是最容易藏污纳垢的地方,系统经常要往这个目录写数据,这个目录下的任何一个文件又都可以通过URL访问到,所以要让浏览器访问不到里面的文件,就需要将此目录改名,或者移动到网站的目录外面去。这样,就算别人通过漏洞往文件里写进了一句话木马,他也找不到此木马所在的文件路径,无法继续展开攻击。

 

因为DedeCMS程序的不合理,所以data目录改名会比较麻烦,具体做法如下:

 

a)将公开的内容迁移到pub目录(或者其它自定义目录)下,如rss、sitemap、js、enum等,此步骤需要移动文件夹,并修改这些文件的生成路径

b)修改引用程序目录

c)修改data文件夹名称,并修改include/common.inc.php文件里的“DEDEDATA”的值,再在后台系统设置-参数设置里修改模板缓存目录,即可修改完成。以后也可以按照此步骤来更改data文件夹名称。

 

2、改名"dede"管理目录名,并加固:

如果把后台隐藏好了,即使别人获得了你的管理员账号、密码,他也无从登录。具体需该如下:

 

a)在/dede/config.php里,找到如下代码:

 

//检验用户登录状态 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
}

 

 

把上面代码,改为下面的:

 

//检验用户登录状态 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
//header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
header("HTTP/1.0 404 Not Found"); 
exit(); 
}

 

b)修改/dede/login.php的文件名称,并对应的修改/dede/templets/login.htm里的表单提交地址;

 

c)修改/dede/的目录名称;

这样,别人在没有登录前,只能访问/dede/login.php改名后的地址,访问其他地址均会获得404错误。

 

当然,做了安全加固后,以后DedeCMS的更新升级也会有一些麻烦。

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

dedecms织梦无需登录注册可下单购买的修改,首先找到/plus/carbuaction.php文件,找到如下代码: //确认用户登录信息if($cfg_ml-IsLogin()){ $userid = $cfg_ml-M_ID;}else{ $username = trim($username); $password = trim($password); if(empty($username)
很多利用dedecms做SEO优化的企业网站,都会多少带一点自己的产品,而用一个复杂的商城后台又大可不必,管理起来费力。dedecms有简单的商城功能,能应付一般的购物过程,二次开发商城功能的人也比较少 这里分享dedecms商城功能用户未登录的判断方法,其实这是
文章简介 因为一些原因需要自动采集数据或是自动登录,就如使用火车头自动采集文章发布到dede网站中,一时是可以发布,但是很多时候却发现过一段时间后dede又登录失败了显示未知发布,那么这时dede后台怎么才能永久自动登录呢,本文就说一下作者这里有关dede
我们在dedecms织梦仿站的时候通常都要把对方的文章列表分页样式都照搬过来,但是织梦的分页样式已经给我们设置好了,这就导致跟我们要仿的站有较大出入,今天就讲讲织梦默认分页格式。 织梦文章列表页分页样式在文件/include/arc.listview.class.php 和/incl
虽然织梦DedeCMS因为安全问题被人所诟病,但瑕不掩瑜,无论从用户群数量还是时间等各方面,织梦DedeCMS都是国内排名前几的CMS建站程序。如果你想学习CMS的二次开发,织梦DedeCMS是必须需要研究的。对织梦DedeCMS的二次开发来说,了解织梦的目录构成、文件
织梦程序的SEO优化已经做的非常好了,但总有不如人意的地方,织梦默认的HTML网站地图和RSS地图就是如此。为什么说织梦默认的HTML网站地图不利于SEO优化呢?主要是因为HTML网站地图和RSS地图的目录问题。