向左向右

搜索

开启左侧

[黑客技术] dedecms网站如何进行安全设置

[复制链接]
狂龙 发表于 2019-7-7 11:36:48 | 显示全部楼层 |阅读模式
狂龙
2019-7-7 11:36:48 238 1 看全部

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?入校

x
本帖最后由 狂龙 于 2019-9-14 16:48 编辑

1、修改默认后台名。
2、删除member文件夹(一共就两个模板带会员功能,不是这两个模板的,都删除这个文件夹) 带会员的模版:模板一模板二
3、删除special文件夹
4、打开plus文件夹
1-16050G04915129.png

4、打开plus文件夹
留下这么几个文件,其他全部删除,参考下图;


1-16050G04915129.png




下面我们对这几个文件做下解释,

Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留

ad_js.php  这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留

Diy.php  这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留

Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留

List.php 这动态栏目,硕拓科技上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留

View.php 这个是动态文章,道理和list.php一样,建议保留。

count.php 这个是文章浏览次数,建议保留。

如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。



DEDE文件夹下 删除以下文件

ad_add.php
ad_edit.php
ad_main.php
adtype_main.php
这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个(只有少数新闻博客模版有广告位)

-----------------------------------------------------------------------------------------------------------------------------------

cards_make.php
cards_manage.php
cards_type.php
这几个是会员点卡功能  所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

feedback_edit.php
feedback_main.php
这是评**能  所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

file_class.php
file_manage_control.php
file_manage_main.php
file_manage_view.php
file_pic_view.php
这几个是附件管理 文件式管理器 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等

-----------------------------------------------------------------------------------------------------------------------------------

freelist_add.php
freelist_edit.php
freelist_main.php
这几个是自由列表管理  所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

getdedesysmsg.php
这个是织梦官方广告   直接删除

-----------------------------------------------------------------------------------------------------------------------------------

group_edit.php
group_guestbook.php
group_main.php
group_notice.php
group_store.php
group_threads.php
group_user.php
这几个是圈子功能  所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

mail_file_manage.php
mail_getfile.php
mail_send.php
mail_title.php
mail_title_send.php
mail_type.php
这几个邮件管理功能  所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

mda_main.php
这个是织梦官方广告   直接删除

-----------------------------------------------------------------------------------------------------------------------------------

media_add.php
media_edit.php
media_main.php
这几个是上传文件 这个是影响安全,很多用户在用这个功能 必须删除,改成FTP上传文件图片等

-----------------------------------------------------------------------------------------------------------------------------------

member_do.php
member_feed_edit.php
member_guestbook.php
....
所有的 member_开头的  这些是会员注册等  模版中只有二个是带会员的  其他的都没带,如果不是那两个  这些都删除  带会员的模版:模板一模板二

-----------------------------------------------------------------------------------------------------------------------------------

mynews_add.php
mynews_edit.php
mynews_main.php
这几个是站内新闻 所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

mytag_add.php
mytag_edit.php
mytag_main.php
mytag_tag_guide.php
mytag_tag_guide_ok.php
这几个是自定义标记 所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

shops_delivery.php
shops_operations.php
shops_operations_cart.php
shops_operations_userinfo.php
订单功能  也是带会员的才会用到  模版中只有二个是带会员的  其他的都没带,如果不是那两个  这些都删除  带会员的模版:模板一模板二

-----------------------------------------------------------------------------------------------------------------------------------

spec_add.php
spec_edit.php
这几个专题功能 所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

story_add.php
story_add_action.php
....
所有的 story_ 开头的  这些都是小说功能  所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

vote_add.php
vote_getcode.php
vote_edit.php
vote_main.php
这几个是投票功能  所有模版都没用到这个  直接删除

-----------------------------------------------------------------------------------------------------------------------------------

已知漏洞修复2019年5月1号之前发布的模板,请下载下面的文件进行修复,5月1号之后发布的模板,已经修复了,不用下载了)
文件1:include/dedesql.class.php
文件1:include/uploadsafe.inc.php
文件1:include/dialog/select_soft_post.php

以上三个文件存在漏洞,请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先的做好备份,以防万一。

下载链接: https://pan.baidu.com/s/1lJh6CK6-MQl-MPxI6IRYpg
提取码: trm6


--------------------------------------------------------------------------------------------------------------------


四、修改用户名和密码,修改密码很简单,后台-系统-系统用户管理,点更改,然后修改即可,但是用户名默认的是admin,大家发现不能修改用户名,其实是可以的,大家按下图操作:



找到功能地图,

(隐藏了这一链接,大家只要直接输入链接即可:sys_data_replace.php    如:http://www.xzxy.net/dede/sys_data_replace.php




找到数据库内容替换,


新的用户名小心填错,以免不知道用户名,进不去后台。修改后,在后台退出,然后重新进后台,用新的用户名登录。

1-15120Q4491T24.jpg
1-15120Q449433F.jpg
1-15120Q45003X6.jpg
【向左向右】社区为校友们服务
 楼主| 狂龙 发表于 3 天前 | 显示全部楼层
狂龙
3 天前 看全部
一、数据库安全
dedecms使用的是mysql数据库,那么Mysql数据库信息不要设置得过于简单,建议不要使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限,数据库密码设置得复杂些。
二、删除install安装目录
dedecms安装完成后,网站根目录的安装目录install/就没有作用了,为了防止别人利用,最好把install文件夹整个删除。

三、修改后台管理目录名称
dedecms默认后台管理目录是dede,很容易被黑客获知,因此建议修改后台管理目录文件夹,登陆FTP把网站根目录下的dede/文件夹重命名,修改为其它名称即可。修改后登陆后台的URL即是:http://域名/修改后的文件夹名称/login.php

四、设置目录权限
对data/、templets/、uploads/、a/网站目录文件夹设置为755可读可执行不可写入权限。
对include/、member/、plus/、dede/网站目录文件夹设置为755可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改。

五、删除无用的目录
很多站长使用dedecms搭建网站并没有开启会员功能、专题功能,如果确认不需要使用会员、专题,可以直接删除网站根目录里的member、special目录。

六、修改帐号密码
很多站长习惯使用admin作为用户名,密码也设置的比较简单,这非常影响网站安全,管理员帐号密码要尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限。

七、修改/data/common.inc.php 这个文件权限为444,只能读取

八、改变织梦data目录位置。
data目录用于存放织梦系统一些重要的配置文件与数据,应该予以重点保护。具体操作步骤为:
1) 新建一目录用于存放data目录,如mydataabc,将DATA目录移动到该目录下。这样data的完整目录变成/mydataabc/data,或者将data目录移到web之外。具体移动教程,可以搜索本站获得。

九、不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

十、后台管理目录下file_manage_xxx.php,不用的可以做掉,这个不是很安全,至少进了后台上传小马很方便。

十一、下载发布功能(后台管理目录下soft__xxx_xxx.php),不用的话可以做掉,这个也比较容易上传小马的。

十二、定期备份
备份永远是最好的保障,一旦网站被黑或被删除可以在第一时间恢复网站,最大限度地减少损失。建议dedecms站长定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复,发现问题尽快修复。

【向左向右】社区为校友们服务
您需要登录后才可以回帖 登录 | 入校

本版积分规则 返回列表

狂龙当前离线
无敌圣者

查看:238 | 回复:1

官方微信

手机版

手机APP

网站建设/维护: 青岛硕拓网络科技有限公司 联系电话:4000-0532-52 E-mail:kefu@shuotuo.net
Copyright © 2004-2018 版权所有 All Rights Reserved. Powered by Xzxy.Net 鲁公网安备 37021102000116号 【高校联盟】鲁CCIA08856941  鲁ICP备10203768号-54
快速回复 返回顶部 返回列表