|
织梦dedecms是国内使用量最大的cms,使用人数多也就意味被黑客研究攻击几率就会增大,而且dede官方安全补丁更新比较慢,所以在网站上线以前尽量消除把这些潜在漏洞和危险,这样才会更加放心的使网站上线。下面小编就总结一下,织梦dedecms优化安全指南。 1、修改默认登陆入口 织梦搭建的网站后台网址默认都是:域名/dede,所以在安装好以后织梦程序第一件事情就是要把这个后台文件改掉,这样就不容易让人猜到后台地址了。 操作方法: 登陆FTP,找到根目录dede文件,点击鼠标右键重命名,另起一个名字,保存即可。
修改后登陆地址就是域名/laomi(修改后文件名),如果你修改后忘记文件名,可以登陆FTP查看。 2、精简组件删除没用的网站功能组件 织梦功能非常全面,我们不会用到每个功能,如果你不用某个功能,可以把它删除掉,删除多余功能组件可以避免被黑客注射最佳方法。譬如:如果不需要会员功能、专题功能、留言板、插件等等。 织梦可删除文件列表: member会员功能 special专题功能 install安装程序(必删) company企业模块 plus文件下可保留几个重要文件,Img文件夹、ad_js.php、Diy.php、Search.php、List.php、View.php、count.php,其余都可删除。 plus保留文件详细说明: Img 文件夹:这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留 ad_js.php:这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 Diy.php:这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留 Search.php:这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留 List.php:这动态栏目,网上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留 View.php:这个是动态文章,道理和list.php一样,建议保留。 count.php:这个是文章浏览次数,建议保留。 友情提示:在ftp修改或者删除文件时,尽量先提前备份一下,以免出现错误。 3、修改默认管理员用户名和密码 dede默认的管理员用户名和密码都是admin,网站新上线后,最好把这两个都进行修改,而不是只是简单的修改密码。密码修改非常简单,后台-系统-系统用户管理,点更改,然后修改即可。因为网站后台无法修改默认的admin,我们只能通过数据库来进行替换修改。 第一步:功能地图,选择数据库内容替换
第二步:进入页面后,在数据表与字段选择dede_admin,在含有字段点击userid,被替换内容填写admin,替换为你想改动的名字,例如:laomi,填写安全确认码,替换数据即可。
这样默认管理用户名就改动完成了。修改后,在后台退出,然后重新进后台,用新的用户名登录。最后提醒,别忘了记住新改动的用户名,以免下次无法登陆。 4、删除(重命名)管理目录下几个文件 在防护安全中管理目录下几个文件是可以删除的,这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除)。 友情提示:删除前请备份,以免后期使用。 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php sys_sql_query.php sys_sql_query.php是SQL命令运行器,如果你需要可以在上传或者改回原来名字,即可使用。其他可删除的文件如果不需要tag功能可以将根目录下的tag.php删除,如果不需要顶客请将根目录下的digg.php与diggindex.php删除! 5、使用第三方专杀工具 在刚开始说过,dedecms漏洞和修改地方比较多,如果你是一个新手还可以第三方插件来查询自己的网站存在哪些漏洞,这个工具叫:dede_killer_v2,使用起来非常简单。 第一步:解压文件,得到dede_killer_v2.php,上传到网站根目录
第二步:输入域名/dede_killer_v2.php,进入管理页面,密码是123123,进入首页后根据进行修复。
结语:世界上所有的程序都有漏洞,所以即使当网站被黑时,也要保持冷静心态来处理,不要着急上火的。
|
|
|
