dedecms 安全加固防黑

查无此人
收藏 昨天 10:56
本帖最后由 查无此人 于 2014-9-14 12:11 编辑

DedeCMS是目前最容易上手的CMS系统，可惜浑身是洞，很多资深站长在经历了N多次被黑的惨痛教训后，要么练就了一身防御的本事，要么就是对DEDE彻底失去信心。

村长在此就贡献一下自己的仿黑经验。

首先介绍一下某同学的办法。他的办法是删除install、members、plus等含有php文件的目录，这样一来，小混混们便无处下手。这无疑是一种首选的办法。

而系统后台的安全操作提示，比如：把data目录放在根目录之外、把一些目录的php文件可执行权限去处，被证明是无效的！

1.目前data、uploads有执行.php权限，非常危险，需要立即取消目录的执行权限！ 查看如何取消
2.强烈建议data/common.inc.php文件属性设置为644（Linux/Unix）或只读（NT）；

现在说说我的经验：

1. FTP远程生成文件
说起来简单，但是做起来极其复杂。因为DEDE的远程生成系统也浑身是洞，很多时候你根本就不知道问题出在哪里，就是无法深成文件。另外，远程服务器的延迟让文件生成过程变得十分冗长痛苦。所以不推荐。

2. 软连接
这种方式只适用于Linux系统。方法是：把Dedecms的安装目录作为根目录的子目录，然后把对应的目录生成软连接。
比如：我的网站是 www.panswork.com，我把DEDE装在 /nizhaobudao 目录里面，然后在 / 目录下生成几个软连接：

ln -s nizhaobudao/index.html index.html
ln -s nizhaobudao/images images
ln -s nizhaobudao/style style
….

这样就在根目录下生成了所有静态目录的快捷方式，那么，如果小混混们扫描不到 nizhaobudao 这个目录，就拿你没办法。

3. url重写，以apache为例

欢迎访问村长私密空间深入研究 www.panswork.com

标签：none