织梦已经是老版的网站建设内容管理系统,因其强大的功能,开发的便利,方便移植,更有利于SEO受到个人站长,企业网站,门户网站的青睐。但同时由于太流行,也被黑客盯上了,产生了许多安全问题。以下是青锋建站给大家分享一些提升织梦网站建设内容管理系统安全性的措施。
提升安全基本常识
其实我们如果没有比较全面的知识,运用简单的dedeCMS简单的安全方法也可以将安全性提升到一定高度,虽然不能避免攻击,但是可以提升黑客攻击的难度。以下青锋建站给大家分享的织梦安全设置解决方案。
1、将后台管理目录改名
最好是以大小写字母+数字+下划线的密码级目录名称,让黑客猜测难度增加。
2、安装完成后一定要将安装目录install删除,不然很容易被利用。
3、将织梦/data/目录下的common.inc.php改成只读成属性。
4、安装是不使用默认后台用户名和密码:用户名称不使用admin,密码不使用admin或123456这样的简单账户密码。
apache降权运行
apache降权提升织梦安全性的原理是,当受到攻击时不让PHP获得系统权重,以免造成对服务器其他网站或对整个服务器的破坏。
1.在计算机管理里的本地用户和组里面创建一个帐户,例如:apache,密码设置为 apache,加入guests组(如果出现问题,可以赋予user权限);
2.打开开始->管理工具->本地安全策略,在用户权限分配中选择“作为服务登陆”,添加apache用 户;
3.计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找 选择apache,输入密码apache,然后点确定(这个时候
apache还不能正常启动,一般情况肯定会报错);
4.赋予权限表如下:
A:赋予apache安装目录所在的磁盘分区以及所在的根目录apache帐户的可读取权限(去掉”高级”时同的”允许父项的继承权限传播到该对象和所有子对象”这一复选框)。
B:赋予apache安装目录(比如:D:/DedeAMPZ/Program/Apache)apache帐号的可读取、写入、执行权限(并取消继承),去除 各磁盘根目录除administror与system以外的所有权限。
C:web目录(比 如D:DedeAMPZWebRoot)apache帐号的可读权限(并取消继承),去除 各磁盘根目录除administror与system以外的所有权限。
D:D:/DedeAMPZ/Program下的MySQL5取消apache用户的所有权限;
E:D:/DedeAMPZ/Program下的php5设置为可读取、可执行(并取消继承),去除 各磁盘根目录除administror与system以外的所有权限。
F:D:/DedeAMPZ/tmpsessions和D:DedeAMPZ/tmp/uploads要赋予完全控制权限。
5.启动apache,一切OK了。
设置dedeCMS(织梦)目录相应的权限
另一种是进行dedeCMS目录的权限设置:data、templets、uploads、a目录,设置可读写,不可执行的权限;include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置),参照如下图:
1、用windows工具设置好读写的权限:
2、把dede(织梦)下的设置完成后还要禁止data、templets、uploads、a目录脚本执行,这里只能通过修改httpd.conf文件。
一个方法是在这几个目录下新建站一个.htaccess文件,将下面的内容得到到这个文件中。
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
如果我们没有创建.htaccess文件的权限,可以在站点配置中可以添加如下内容:
复制代码
代码如下:
<Directory "D:/DedeAMPZ/WebRoot/根目录/uploads">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
<Directory "D:/DedeAMPZ/WebRoot/根目录/data">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
<Directory "D:/DedeAMPZ/WebRoot/根目录/templets">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
<Directory "D:/DedeAMPZ/WebRoot/根目录/a">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
这里对应就取消了对应目录的脚本执行权限。
步骤三、设置httpd.conf里的option选项为none。
采用网站安全卫士
采用360的主机卫士可以阻挡一部分注入攻击,对于织梦这种常见的网站建设内容管理系统是比较有效的。但是也应该在上述提升安全的基础之上使用,因为有对攻击也只能扫描木马,但是不可以安全防止。
对dedeCMS系统进行精简
对织梦系统精简提升安全性的原理是:一个系统越庞大,安全系数越低,而且好多脚本存在漏洞,而我们也不怎么用,去掉这些华而不实的功能可以大大提升织梦建站系统的安全性。。
1、后台的文件管理(管理目录下file_manage_xxx.php),不用的可以删掉
2、不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除
3、不需要tag功能请将根目录下的tag.php删除
4、请将根目录下的digg.php与diggindex.php删除
5、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉。
6、管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php ;file_manage_main.php;file_manage_view.php;media_add.php;media_edit.php;media_main.php
7、删除一些不用的目录:member会员功能 special专题功能 company企业模块 plus/guestbook留言板
以上就是专业的网站建设公司-青锋建站给大家提供的提升织梦系统安全性方法,希望对大家有所帮助。青锋建站,提供专业的高品质网站制作服务,包括网站建设,SEO,网络营销,PHP开发,网站建设知名品牌,全国接单,为企业构建强有力的营销平台。
转载请注明来源网址:青锋建站-http://www.sjzphp.com/webdis/safity_dede_479.html