2013-08-31
Dedecms的普及面還是很廣的,眾多的中小站長在用dede建設網站,它的優點突出:開源、容易、優化簡單。可它的缺點卻很致命:安全性極差。究其原因,樹大招風,同時我們也要責問dede的開發團隊,不能拿開源當理由,安全性差代表了產品的質量差。筆者根據自身的建站經驗對dede進行一些安全設置。
1、安裝完程序或對程序進行升級之后,一定要把install(安裝)或update(升級)文件夾刪除,這樣可以減少被攻擊的范圍。除了install文件夾外,能刪除的文件夾要看具體使用情況。比如不需要會員功能可以把member文件夾刪除,不需要專題功能可以刪除special文件夾,需要的話可以把special文件夾設置為可讀寫,不可執行。另外,在安裝的時候也可以修改dede數據名的前綴。
2、把data文件夾改名,增加掛馬的程序找到你后臺路徑的難度。接著就是要把默認的admin登陸名改掉,在這里為大家提供一個很簡單的方法,就是直間寫入sql命令,在dede的后臺管理的系統/SQL命令行工具里輸入語句:update dede_admin set userid="new userid" where id=1;這里的new userid代表了你要修改的用戶名,順便可以把密碼修改的復雜些,并可以定期修改下你的密碼甚至是登陸名,用剛才的sql語句。
3、設置目錄的權限,這個很重要。筆者是按照dede的后臺里的安全建議執行的:有條件的用戶把data,templets,uploads,html,special,images,install目錄設置為不允許執行腳本,其他目錄禁止寫入,系統將更安全。注意,這里的install刪除更安全,象筆者的網站不需要special的,也是刪除更安全。至于怎么設置dedecms的目錄權限,官網的天涯對不同的環境有具體的設置,網址是:http://help.dedecms.com/install-use/server/2011/1109/2124.html,大家可以根據自己的環境參考一下。除了上面建議的一些目錄外,把生成的網頁所在的文件夾也設置為不允許執行腳本,這樣,整個網站會更安全。除了這些目錄權限的設置,data文件夾下的common.inc.php文件(Linux/Unix)設置為644或(Windows NT)設置為只讀。
4、定期檢查dedecms有沒有更新,及時打上補丁。有兩個途徑,一個可以在后臺點擊在線更新,具體見下圖:
更新很重要,一定要常檢查,補丁出來了,往往意味著一批網站已經被掛木馬了。
5、針對已掛馬的情況,網上有很多檢查和殺毒的軟件,大家可以上百度查找。這里給大家介紹一種比較傻瓜式的方法:常備份網站。一旦發現自己的網站掛馬了,用文件比較工具比較備份和現有網站有差異的文件,重點查看。實在找不到木馬的話,可以進行覆蓋。
網上關于dede的安全設置的文章很多,大家可以去看看,根據自己的實際情況進行修改,比如把data文件夾移出web目錄等。不要安裝完dede就急著做網站,那可是個漏洞大集合,不做必要的安全設置,想不掛馬也難。掛馬的網站論你做的再好,權重再高,又有什么意義呢?其實筆者的建議是,對安全性要求高的個人站長,可以放棄使用dedecms來建設,換用其他的系統。
