2013-08-31
Dedecms的普及面還是很廣的,眾多的中小站長在用dede建設(shè)網(wǎng)站,它的優(yōu)點(diǎn)突出:開源、容易、優(yōu)化簡單。可它的缺點(diǎn)卻很致命:安全性極差。究其原因,樹大招風(fēng),同時(shí)我們也要責(zé)問dede的開發(fā)團(tuán)隊(duì),不能拿開源當(dāng)理由,安全性差代表了產(chǎn)品的質(zhì)量差。筆者根據(jù)自身的建站經(jīng)驗(yàn)對dede進(jìn)行一些安全設(shè)置。
1、安裝完程序或?qū)Τ绦蜻M(jìn)行升級之后,一定要把install(安裝)或update(升級)文件夾刪除,這樣可以減少被攻擊的范圍。除了install文件夾外,能刪除的文件夾要看具體使用情況。比如不需要會員功能可以把member文件夾刪除,不需要專題功能可以刪除special文件夾,需要的話可以把special文件夾設(shè)置為可讀寫,不可執(zhí)行。另外,在安裝的時(shí)候也可以修改dede數(shù)據(jù)名的前綴。
2、把data文件夾改名,增加掛馬的程序找到你后臺路徑的難度。接著就是要把默認(rèn)的admin登陸名改掉,在這里為大家提供一個很簡單的方法,就是直間寫入sql命令,在dede的后臺管理的系統(tǒng)/SQL命令行工具里輸入語句:update dede_admin set userid="new userid" where id=1;這里的new userid代表了你要修改的用戶名,順便可以把密碼修改的復(fù)雜些,并可以定期修改下你的密碼甚至是登陸名,用剛才的sql語句。
3、設(shè)置目錄的權(quán)限,這個很重要。筆者是按照dede的后臺里的安全建議執(zhí)行的:有條件的用戶把data,templets,uploads,html,special,images,install目錄設(shè)置為不允許執(zhí)行腳本,其他目錄禁止寫入,系統(tǒng)將更安全。注意,這里的install刪除更安全,象筆者的網(wǎng)站不需要special的,也是刪除更安全。至于怎么設(shè)置dedecms的目錄權(quán)限,官網(wǎng)的天涯對不同的環(huán)境有具體的設(shè)置,網(wǎng)址是:http://help.dedecms.com/install-use/server/2011/1109/2124.html,大家可以根據(jù)自己的環(huán)境參考一下。除了上面建議的一些目錄外,把生成的網(wǎng)頁所在的文件夾也設(shè)置為不允許執(zhí)行腳本,這樣,整個網(wǎng)站會更安全。除了這些目錄權(quán)限的設(shè)置,data文件夾下的common.inc.php文件(Linux/Unix)設(shè)置為644或(Windows NT)設(shè)置為只讀。
4、定期檢查dedecms有沒有更新,及時(shí)打上補(bǔ)丁。有兩個途徑,一個可以在后臺點(diǎn)擊在線更新,具體見下圖:
更新很重要,一定要常檢查,補(bǔ)丁出來了,往往意味著一批網(wǎng)站已經(jīng)被掛木馬了。
5、針對已掛馬的情況,網(wǎng)上有很多檢查和殺毒的軟件,大家可以上百度查找。這里給大家介紹一種比較傻瓜式的方法:常備份網(wǎng)站。一旦發(fā)現(xiàn)自己的網(wǎng)站掛馬了,用文件比較工具比較備份和現(xiàn)有網(wǎng)站有差異的文件,重點(diǎn)查看。實(shí)在找不到木馬的話,可以進(jìn)行覆蓋。
網(wǎng)上關(guān)于dede的安全設(shè)置的文章很多,大家可以去看看,根據(jù)自己的實(shí)際情況進(jìn)行修改,比如把data文件夾移出web目錄等。不要安裝完dede就急著做網(wǎng)站,那可是個漏洞大集合,不做必要的安全設(shè)置,想不掛馬也難。掛馬的網(wǎng)站論你做的再好,權(quán)重再高,又有什么意義呢?其實(shí)筆者的建議是,對安全性要求高的個人站長,可以放棄使用dedecms來建設(shè),換用其他的系統(tǒng)。
北京博昊天成科技有限公司
Beijing Bohao Tiancheng Technology Co., Ltd
公司動態(tài) 網(wǎng)站建設(shè)
網(wǎng)站推廣 網(wǎng)頁設(shè)計(jì)
解決方案 css知識
空間域名 行業(yè)新聞
程序開發(fā)
掃一掃
關(guān)注公眾號
掃一掃
應(yīng)用程序下載
