如何防止dedecms梦与马
网站安全一直是服务器配置、文件权限控制和网站程序三之间的合作。今天我们主要看一下DedeCMS的网站程序,以提高安全性的改进。可执行文件是不允许被修改,可写文件不允许在DEDECMS的情况下访问,我们可以在以下几个方面做好保护。1。重命名根目录中的数据目录,或者将其移到Web目录中。
数据目录是邪恶的人和邪恶的做法往往遮蔽面容的地方,写数据到这个目录,在这个目录中的任何文件都可以访问的网址,让浏览器访问里面的文件,你需要把这个目录的名称,或移动到外部网站目录。这些,甚至如果有人写了一句话变成一个木马通过漏洞,他找不到路径的文件,该木马被找到并不能继续发动攻击。因为dedecms程序不合理,导致更名为数据目录的动作会比较大,具体做法如下:
A.将公开的内容到酒吧目录(或其他自定义的目录),如RSS、sitemap、JS、枚举等。此步骤需要移动文件夹并修改这些文件的生成路径。
b.修改引用程序目录。
搜索和替换dededata。 / / 数据dededata。
搜索和替换dededata。' /数据/ dededata / 。
搜索
C.修改数据的文件夹名称,修改dededata值在包括 / common.inc.php文件,并修改模板缓存目录在后台系统设置,以便它可以修改。你也可以在未来改变数据文件夹的名字。
2。改名为迪迪管理目录和加固
如果后台是隐藏的,即使有人得到管理员的帐号和密码,他也无法登录。
答: /德/ config.php,发现如下行:
下面提到:
1测试用户登录状态
2美元cuserlogin = newuserlogin();
3if($ cuserlogin -> getuserid()= = 1)
4 {
5header(位置:登录。phptopage = 。Urlencode($ dedenowurl));
6 }
将上述代码更改为:
下面提到:
1测试用户登录状态
2美元cuserlogin = newuserlogin();
3if($ cuserlogin -> getuserid()= = 1)
4 {
5 / /头(位置:登录。phptopage = 。Urlencode($ dedenowurl));
6header(HTTP / 1.0404notfound );
7exit();
8 }
B.修改 / / login.php dede的文件名,并在 / / / login.htm dede模板的表单提交地址的相应变化;
C.修改 /德/目录名;
这样,其他人只能在 / / login.php dede改名前登录访问的地址,并访问其他地址将获得404的错误。
当然,安全加固后的dedecms升级,未来会有一些麻烦。