织梦安全吗?织梦dedecms安全防护的四个步骤 织梦到底安全吗?这是所有使用织梦的站长都问过的问题,小编在这里只能告诉大家,没有绝对安全的程序。可为什么大家都说织梦不安全呢? 随着织梦cms的使用者增加,一些漏洞也就被慢慢的发现。 众所周知,织梦的某些php文件包含漏洞,比如任意上传漏洞,spl注入漏洞,都是比较让站长伤脑筋的。 那么我们如何做好相应的安全防护呢,小编特意程序研究了一下织梦的一些漏洞文件,发现问题总是出现在4个重要文件夹里面: 第一步:dede文件夹 后台文件夹dede是我们管理网站登录的文件夹,安装好程序之后一定要修改dede目录名称,建议用数字和字母的组合,这样就可以大幅度提高安全性。 如果有一定基础的站长可以删除目录下一些不必要的php文件,比如我们做企业网站,那么我们只留下文章发布、文章修改、生成、列表、自定义表单等等我们需要用的php和htm模板,其余都删除掉,这样安全性会大幅度的提高。 ps:尤其是友情链接模块和友情链接的php文件,据说这是第一个被发现的后台注入漏洞,建议大家删除该模块和php文件,如果需要友情链接,我们可以手动写入到模板中。 第二步:install文件夹 install文件夹是织梦程序的安装文件夹,为了防止被人恶意安装,我们在安装完成织梦cms之后要把这个文件夹全部删除,如果我们需要搬迁网站,那么可以从织梦的官方网站再次下载文件包,把install文件夹拷贝一下到根目录即可。 第三步:member文件夹 member是织梦的会员目录,可以说是发现漏洞最多的目录,因为会员的一些文件上传权限问题,导致了网站有了安全隐患,如果我们是做企业网站或者个人网站,删除这个文件夹是最稳妥的方法。删除后我们进入后台的系统设置里面关闭会员功能(默认是关闭状态)。如果需要用到会员功能,建议大家过滤一遍member文件夹里的php文件和htm模板文件,删除多余的功能,htm模板中也删除掉一些不用的代码,安全性是没问题的。 第四步:plus文件夹 plus是织梦的动态数据储存文件夹,也是黑客们批量扫描网站最喜欢的文件夹,建议吧plus名称修改为别的,这样就降低了批量扫描时被爆破的概率(修改plus名称之后会导致一些功能无法实现,比如文章计数器,动态浏览等,这时候我们需要修改一些文件内容来对接,具体方法网上很多,小编就偷个懒,不多说了) |
|