老生常谈:DEDECMS安全设置问题分享

  Dedecms安全问题已经是老生常谈了。虽然无忧主机php虚拟主机安全性是很高的,但是黑客总是利用dedecms的漏洞进行注入。其实有些时候,是我们对dedecms的安全设置不到位导致的。今天无忧主机小编给大家带来的是dedecms的几个安全设置方面的集合,让您的网站更加安全。

  第一点,也是小编认为最有效的一点,就是删除不必要的系统文件。为什么这么说呢?因为很多注入、挂马、刷注册、刷评论,都是通过这些文件来的。比如有些dedecms网站根本没有开启注册功能的必要,就可以把member文件夹删除。下面列举几个可以删除的文件或文件夹。

  –plus文件夹中,小编认为有用的文件:mytag_js.php ad_js.php(用于显示广告)、count.php(统计文章访问次数)、search.php(搜索文章)、feedback.php feedback_ajax.php feedback_js.php(评论用)、list.php(频道动态页),其他的如果不想要可以全部删除。

  –dede文件夹中可以删除:file_manage_control.php、 media_main.php、 file_manage_main.php、media_add.php、file_manage_view.php、media_edit.php。

  –member文件夹,如果没有会员注册系统,可以删除。

  –special文件夹,专题功能文件夹,如不需要可以删除。

  第二点,之前也说过多次,这里小编再提一下,就是关于文件夹权限的设置。无忧主机php虚拟主机的最高权限是755。在dedecms中,比较敏感的两个文件夹,一个是data,一个是upload。可以将这两个文件夹的权限设置为666。关于权限的说明和设置,请看:LINUX虚拟主机,LINUX空间站点目录权限设置高级篇、无忧主机站点目录(PUBLIC_HTML)文件夹的权限设置。

  最后一点,也是比较复杂的一点,那就是移动data文件夹所在目录。Data目录里存放的数据太重要,也值得这样做。具体做法如下:

  在根目录新建一个文件夹,例如safefile,把data文件夹整个移动进去。

  修改include/common.inc.php,把

  define(‘DEDEDATA’, DEDEROOT.’/data’);

  改成:

  define(‘DEDEDATA’, DEDEROOT.’/safefile/data’);

  修改include/vdimgck.php中相关代码位:

  require_once (dirname(__FILE__).’/../safefile/data/safe/inc_safe_config.php’);

  require_once (dirname(__FILE__).’/../safefile/data/config.cache.inc.php’);

  $config = array(

  ‘font_size’ => 14,

  ‘img_height’ => $safe_wheight,

  ‘word_type’ => (int)$safe_codetype, // 1:数字 2:英文 3:单词

  ‘img_width’ => $safe_wwidth,

  ‘use_boder’ => TRUE,

  ‘font_file’ => dirname(__FILE__).’/data/fonts/ggbi.ttf’,

  ‘wordlist_file’ => dirname(__FILE__).’/data/words/words.txt’,

  ‘filter_type’ => 5);

  $sessSavePath = dirname(__FILE__).”/../safefile/data/sessions/”;

posted on 2016-11-28 16:47  云上2014  阅读(196)  评论(0编辑  收藏  举报