織夢增強安全,防止網站掛馬

有很多站長說織夢的安全性不夠,漏洞太多,很多人都因為這個放棄了織夢CMS。但是要知道網站安全都是服務器配置、文件權限控制和網站程序三者的相互配合,世界上沒有絕對安全的程序,但是我們可以通過對織夢CMS網站程序的修改來提高安全性。

我們可以在如下幾個方面做好系統安全防護:

 

1、修改織夢默認的data目錄的名稱,或者移動到網站目錄外面

織夢的data目錄是最容易藏污納垢的地方,系統經常要往這個目錄寫數據,這個目錄下的任何一個文件又都可以通過URL訪問到,所以要讓瀏覽器訪問不到里面的文件,就需要將此目錄改名,或者移動到網站的目錄外面去。這樣,就算別人通過漏洞往文件里寫進了一句話木馬,他也找不到此木馬所在的文件路徑,無法繼續展開攻擊。

因為DedeCMS程序的不合理,所以data目錄改名會比較麻煩,具體做法如下: 

a、將公開的內容遷移到其他目錄下(自定義目錄名稱),如rss、sitemap、js、enum等,此步驟需要移動文件夾,并修改這些文件的生成路徑

b、修改引用程序目錄

c、修改data文件夾名稱,并修改include/common.inc.php文件里的“DEDEDATA”的值,再在后臺系統設置-參數設置里修改模板緩存目錄,即可修改完成。以后也可以按照此步驟來更改data文件夾名稱。

 

2、改名"dede"管理目錄名,并加固:

如果把后臺隱藏好了,即使別人獲得了你的管理員賬號、密碼,他也無從登錄。具體需該如下:

a、在/dede/config.php里,大概33行找到如下代碼:

//檢驗用戶登錄狀態
$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
{
    header("location:login.php?gotopage=".urlencode($dedeNowurl));
    exit();
}


把上面代碼,改為下面的:

//檢驗用戶登錄狀態
$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
{
    header("HTTP/1.0 404 Not Found");
    exit();
}

 

b、修改/dede/login.php的文件名稱,并修改對應的模板/dede/templets/login.htm里的表單提交地址;

c、修改/dede/的目錄名稱;

 

這樣,在沒有登錄前,只能訪問/dede/login.php改名后的地址,訪問其他地址均會獲得404錯誤。

即使后臺文件夾名稱、賬號、密碼都泄露了,對方還需要知道我們的登錄文件名才可以登錄,這樣就會安全很多。

推薦模板

上一篇:dedecms織夢后臺精簡目錄和安全具體需要刪除哪些文件?

下一篇:織夢CMS取消數據庫錯誤日志生成文件功能有效防止暴露后臺和管理員

猜你喜歡

dede織夢模板網
最近中文字幕在线观看,亚洲精品综合久久,国产每日更新,一级a爱视频