21便民:[知识] [切换城市]

...

dedecms织梦安全设置 防黑加固

位置:首页 > 知识 > DEDECMS 时间:2020-12-17

(为了安全起见,建议先做好全站数据和文件的备份,本人也是这样设置,并且没有任何问题)sGF21便民网

请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先的做好备份,以防万一。sGF21便民网

下载链接: https://pan.baidu.com/s/1krgFxGkDyT4p9wa3Ra5ulA
提取码: 89j5sGF21便民网

 sGF21便民网

1、修改默认后台名。

打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随意修改,比如修改为[adminbuy],此时后台登陆的路径为:http://www.*****.com/cnntt/
 

2、删除member文件夹

(一共就两个模板带会员功能,不是这两个模板的,都删除这个文件夹) 
带会员的模版:模板一、模板二
Member文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,就像AB模板网发布的基本都是企业站,所以并不需要会员系统,这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。
 

3、删除special文件夹

Special文件夹是专题的意思,AB模板网上下载的源码都没有用到这个专题页面,所以大家放心删掉好了。
 

4、打开plus文件夹

留下这么几个文件,其他全部删除,参考下图;sGF21便民网

dedecms织梦安全设置 防黑加固sGF21便民网

下面我们对这几个文件做下解释,sGF21便民网

Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留sGF21便民网

ad_js.php  这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留sGF21便民网

Diy.php  这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留sGF21便民网

Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留sGF21便民网

List.php 这动态栏目,AB模板网上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留sGF21便民网

View.php 这个是动态文章,道理和list.php一样,建议保留。sGF21便民网

count.php 这个是文章浏览次数,建议保留。sGF21便民网

如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。sGF21便民网

DEDE文件夹下 删除以下文件

ad_add.phpsGF21便民网

ad_edit.phpsGF21便民网

ad_main.phpsGF21便民网

adtype_main.phpsGF21便民网

这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个(只有少数新闻博客模版有广告位)sGF21便民网

 sGF21便民网

 sGF21便民网

cards_make.phpsGF21便民网

cards_manage.phpsGF21便民网

cards_type.phpsGF21便民网

这几个是会员点卡功能  所有模版都没用到这个  直接删除sGF21便民网

 sGF21便民网

feedback_edit.phpsGF21便民网

feedback_main.phpsGF21便民网

这是评论功能  如果没用到这个  直接删除sGF21便民网

 sGF21便民网

file_class.phpsGF21便民网

file_manage_control.phpsGF21便民网

file_manage_main.phpsGF21便民网

file_manage_view.phpsGF21便民网

file_pic_view.phpsGF21便民网

这几个是附件管理 文件式管理器 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等sGF21便民网

 sGF21便民网

freelist_add.phpsGF21便民网

freelist_edit.phpsGF21便民网

freelist_main.phpsGF21便民网

这几个是自由列表管理  基本上的模版都没用到这个  直接删除sGF21便民网

 sGF21便民网

getdedesysmsg.phpsGF21便民网

这个是织梦官方广告   直接删除sGF21便民网

 sGF21便民网

group_edit.phpsGF21便民网

group_guestbook.phpsGF21便民网

group_main.phpsGF21便民网

group_notice.phpsGF21便民网

group_store.phpsGF21便民网

group_threads.phpsGF21便民网

group_user.phpsGF21便民网

这几个是圈子功能 没用到这个  直接删除sGF21便民网

 sGF21便民网

mail_file_manage.phpsGF21便民网

mail_getfile.phpsGF21便民网

mail_send.phpsGF21便民网

mail_title.phpsGF21便民网

mail_title_send.phpsGF21便民网

mail_type.phpsGF21便民网

这几个邮件管理功能  没用到这个  直接删除sGF21便民网

 sGF21便民网

mda_main.phpsGF21便民网

这个是织梦官方广告   直接删除sGF21便民网

 sGF21便民网

media_add.phpsGF21便民网

media_edit.phpsGF21便民网

media_main.phpsGF21便民网

这几个是上传文件 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等sGF21便民网

 sGF21便民网

member_do.phpsGF21便民网

member_feed_edit.phpsGF21便民网

member_guestbook.phpsGF21便民网

....sGF21便民网

所有的 member_开头的  这些是会员注册等  没用到这个  直接删除sGF21便民网

 sGF21便民网

mynews_add.phpsGF21便民网

mynews_edit.phpsGF21便民网

mynews_main.phpsGF21便民网

这几个是站内新闻 没用到这个  直接删除sGF21便民网

 sGF21便民网

mytag_add.phpsGF21便民网

mytag_edit.phpsGF21便民网

mytag_main.phpsGF21便民网

mytag_tag_guide.phpsGF21便民网

mytag_tag_guide_ok.phpsGF21便民网

这几个是自定义标记 没用到这个  直接删除sGF21便民网

 sGF21便民网

shops_delivery.phpsGF21便民网

shops_operations.phpsGF21便民网

shops_operations_cart.phpsGF21便民网

shops_operations_userinfo.phpsGF21便民网

订单功能  也是带会员的才会用到  没用到这个  直接删除sGF21便民网

 sGF21便民网

spec_add.phpsGF21便民网

spec_edit.phpsGF21便民网

这几个专题功能 没用到这个  直接删除sGF21便民网

 sGF21便民网

story_add.phpsGF21便民网

story_add_action.phpsGF21便民网

....sGF21便民网

所有的 story_ 开头的  这些都是小说功能  没用到这个  直接删除sGF21便民网

 sGF21便民网

vote_add.phpsGF21便民网

vote_getcode.phpsGF21便民网

vote_edit.phpsGF21便民网

vote_main.phpsGF21便民网

这几个是投票功能  没用到这个  直接删除sGF21便民网

 sGF21便民网

五、删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。

删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。sGF21便民网

 sGF21便民网

六、修改用户名和密码

http://www.xx.com/archives/3364sGF21便民网

 sGF21便民网

七:目录权限设置

①/data、/templets、/plus、/include、/dede 这几个目录去掉写的权限sGF21便民网

②网站根目录设置为755权限(即www权限),这样子根目录下的所有文件夹均为755权限sGF21便民网

③老版本若登录后台提示验证码错误,选中/data目录,将权限设置为完全控制(可读可写)权限sGF21便民网

八:主机安全防护

可下载第三方防护插件,例如:『D盾_防火墙』 、360出品的"织梦CMS安全包" 、百度旗下安全联盟出品的"DedeCMS顽固木马后门专杀"、服务器安全狗、启用HTTPS证书配置;sGF21便民网

九:利用伪静态功能禁止以下目录运行php脚本

① linux主机的用户一般都是apache环境,使用 .htaccess 文件来设置,如果你网站根目录已经存在这个文件,那就复制一下代码添加进去。sGF21便民网

RewriteEngine on

#安全设置 禁止以下目录运行指定php脚本

RewriteCond % !^$

RewriteRule a/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php|htm)$ – [F]

RewriteRule uploads/(.*).(php)$ – [F]
Select Code
Copy

 sGF21便民网

②:windows主机的用户一般都是iis7、iis8环境,使用 web.config 文件来设置,请确认你的主机已经开启了伪静态而且网站根目录有 web.config 文件,有这个文件的可以复制以下代码添加到对应的rules内。sGF21便民网

<rule name="Block data" stopProcessing="true">

  <match url="^data/(.*).php$" />

    <conditions logicalGrouping="MatchAny">

     <add input="{USER_AGENT}" pattern="data" />

     <add input="{REMOTE_ADDR}" pattern="" />

   </conditions>

  <action type="AbortRequest" />

</rule>

<rule name="Block templets" stopProcessing="true">

  <match url="^templets/(.*).php$" />

     <conditions logicalGrouping="MatchAny">

      <add input="{USER_AGENT}" pattern="templets" />

      <add input="{REMOTE_ADDR}" pattern="" />

    </conditions>

  <action type="AbortRequest" />

</rule>

<rule name="Block SomeRobot" stopProcessing="true">

   <match url="^uploads/(.*).php$" />

      <conditions logicalGrouping="MatchAny">

         <add input="{USER_AGENT}" pattern="SomeRobot" />

         <add input="{REMOTE_ADDR}" pattern="" />

      </conditions>

    <action type="AbortRequest" />

</rule>
Select Code
Copy

 sGF21便民网

③:Nginx下禁止指定目录运行PHP脚本sGF21便民网

注意:这段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效,配置完后记得重启Nginx生效。sGF21便民网

location ~* /(a|data|templets|uploads)/(.*).(php)$ {

return 403;

}
Select Code
Copy

 sGF21便民网

测试有没有生效,可以随便创建一个PHP文件传到uploads文件夹下,执行:域名/uploads/测试文件.php  如果不能打开说明生效。sGF21便民网

 sGF21便民网

十、网站做好定期的备份工作,不要闲麻烦sGF21便民网


(浏览:)

推荐信息

最新
热门