dedecms织梦安全设置 防黑加固
位置:首页 > 知识 > DEDECMS 时间:2020-12-17
(为了安全起见,建议先做好全站数据和文件的备份,本人也是这样设置,并且没有任何问题) 请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先的做好备份,以防万一。 下载链接: https://pan.baidu.com/s/1krgFxGkDyT4p9wa3Ra5ulA
1、修改默认后台名。打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随意修改,比如修改为[adminbuy],此时后台登陆的路径为:http://www.*****.com/cnntt/
2、删除member文件夹(一共就两个模板带会员功能,不是这两个模板的,都删除这个文件夹)
带会员的模版:模板一、模板二
Member文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,就像AB模板网发布的基本都是企业站,所以并不需要会员系统,这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。
3、删除special文件夹Special文件夹是专题的意思,AB模板网上下载的源码都没有用到这个专题页面,所以大家放心删掉好了。
4、打开plus文件夹留下这么几个文件,其他全部删除,参考下图; 下面我们对这几个文件做下解释, Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留 ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留 Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留 List.php 这动态栏目,AB模板网上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留 View.php 这个是动态文章,道理和list.php一样,建议保留。 count.php 这个是文章浏览次数,建议保留。 如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。 DEDE文件夹下 删除以下文件
这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个(只有少数新闻博客模版有广告位)
这几个是会员点卡功能 所有模版都没用到这个 直接删除
这是评论功能 如果没用到这个 直接删除
这几个是附件管理 文件式管理器 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等
这几个是自由列表管理 基本上的模版都没用到这个 直接删除
这个是织梦官方广告 直接删除
这几个是圈子功能 没用到这个 直接删除
这几个邮件管理功能 没用到这个 直接删除
这个是织梦官方广告 直接删除
这几个是上传文件 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等
所有的 member_开头的 这些是会员注册等 没用到这个 直接删除
这几个是站内新闻 没用到这个 直接删除
这几个是自定义标记 没用到这个 直接删除
订单功能 也是带会员的才会用到 没用到这个 直接删除
这几个专题功能 没用到这个 直接删除
所有的 story_ 开头的 这些都是小说功能 没用到这个 直接删除
这几个是投票功能 没用到这个 直接删除
五、删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。删除根目录下的install 文件夹,这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。
六、修改用户名和密码http://www.xx.com/archives/3364
七:目录权限设置①/data、/templets、/plus、/include、/dede 这几个目录去掉写的权限 ②网站根目录设置为755权限(即www权限),这样子根目录下的所有文件夹均为755权限 ③老版本若登录后台提示验证码错误,选中/data目录,将权限设置为完全控制(可读可写)权限 八:主机安全防护可下载第三方防护插件,例如:『D盾_防火墙』 、360出品的"织梦CMS安全包" 、百度旗下安全联盟出品的"DedeCMS顽固木马后门专杀"、服务器安全狗、启用HTTPS证书配置; 九:利用伪静态功能禁止以下目录运行php脚本① linux主机的用户一般都是apache环境,使用 .htaccess 文件来设置,如果你网站根目录已经存在这个文件,那就复制一下代码添加进去。
②:windows主机的用户一般都是iis7、iis8环境,使用 web.config 文件来设置,请确认你的主机已经开启了伪静态而且网站根目录有 web.config 文件,有这个文件的可以复制以下代码添加到对应的rules内。
③:Nginx下禁止指定目录运行PHP脚本 注意:这段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效,配置完后记得重启Nginx生效。
测试有没有生效,可以随便创建一个PHP文件传到uploads文件夹下,执行:域名/uploads/测试文件.php 如果不能打开说明生效。
十、网站做好定期的备份工作,不要闲麻烦 (浏览:次) |