[{“
翻译”:[{“文本”:”
n
梦幻编织安全优化设置
n
安装编织梦想CMS后,新手往往直接开始开发使用,忽略了一些安全优化操作,会导致后期整个系统的安全系数下降,被黑客攻击或注入的概率极高,毕竟世界上有很多无聊的黑客扫描全网的网站, 扫到你的菜站,尤其是使用率高的DEDECMS,启动你网站的愿望更高,所以开发前还是要做好安全防范!!
n
安全设置 1:删除文件
n安装完成后,会有一些文件,可以说是冗余文件,完全
没有效果,反而带来被黑客入侵的危险,删除它,可以删除以下文件:
n
安全设置2:参数修改
n1./
include/filter.inc.php文件(位置约为46行),即SQL注入漏洞修复
n
return $svar;
修改为
return addslashes($svar);
n2./
include/uploadsafe.inc.php 文件
n
$image_dd = @getimagesize($$_key);
修改为
$image_dd = @getimagesize($$_key); if($image_dd == false){ continue; }
n
php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml
修改为
php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml|htm|html
n
3./加/搜索.php文件
n
$keyword = addslashes(cn_substr($keyword,30));
修改为
$typeid = intval($typeid); $keyword = addslashes(cn_substr($keyword,30));
n
4./include/dialog/select_soft_post.php 文件,即任意文件上传漏洞
n
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
修改为
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
exit();
}
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
n
5. /dede/media_add.php 文件,即任意文件上传漏洞
n
$fullfilename = $cfg_basedir.$filename;
修改为
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
exit();
}
$fullfilename = $cfg_basedir.$filename;
n6./
include/common.inc.php 文件织梦目录优化,即 SESSION 变量覆盖导致 SQL 注入漏洞(该漏洞已在最新版本中修复)。
n
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
修改为
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
n
7./include/payment/支付宝.php文件,即dedecms支付模块注入漏洞(该漏洞已在最新版本中正式修复)。
n
$order_sn = trim($_GET['out_trade_no']);
修改为
$order_sn = trim(addslashes($_GET['out_trade_no']));
n
安全设置三:目录修改
n
1.后台管理功能文件夹dede:这是后台文件,你需要更改这个文件夹的名称,比如登录,那么后台登录地址就会从
n
2. 将 /data/ 文件夹移到 Web Access 目录之外(来自官方 dedecms 建议):
n
- 将 /data/ 文件夹移动到根目录上一级的目录
n
- 修改配置文件中的 DEDEDATA 变量:/INCLUDE/COMMON。INC.php
n
define('DEDEDATA', DEDEROOT.'/data');
改为
define('DEDEDATA',DEDEROOT.'/../data');
n3、目录权限设置
:选择网站的根目录织梦目录优化,如wwwroot,然后使用网站控制面板的“权限”设置功能,将全站所有文件设置为只读(755权限)。旧版本登录后台会提示验证码错误,进入wwwroot目录,选择数据目录,然后点击“权限”将数据分别设置为完全控制(可读写)权限。生成文档的目录也可以单独设置为“完全控制”,或者在需要更新文档时将 wwwroot 目录设置为“完全控制”。注: 更新文档后,再次将其设置为只读。
n4、目录保护:为了防止木马
被上传执行,使用控制面板中的“目录保护”功能(大多数控制面板都有此功能,有些安全软件也有),选择模板、上传、数据三个目录进行添加保护(禁止脚本执行,防止黑客上传木马)。
n
安全设置 4:使用第三方安全插件
n
您可以下载第三方防护插件,如360制作的“编织梦想CMS安全包”和百度安全联盟制作的“DedeCMS顽固木马后门杀伤”
n
我推荐百度安全联盟出品的《DedeCMS顽固木马后门杀杀》
n
下载地址:
n
前提工作:注意将文件下载到本地电脑,解压后用“编辑器”打开(可以直接用窗口系统'记事本'打开dede_killer_v2.php 更改密码(默认密码不允许登录!),如果您的DEDECMS设置了数据目录,修改后请保存。
n
安装方法:解压>上传到网站的根目录(通常为 wwwroot)。
n
打开方式:您的网站地址/dede_killer_v2.php
n
注意力
n1.必须有一个数据目录和/
data/common.inc .php以下目录中的文件,如果没有错误,“请将该文件放在您网站的根目录中,并索引.php同一级别的目录”错误。
n
2.文件过多执行时间较长,可能会超时,可以将ini_set(memory_limit,100m“)值修改为ini_set(memory_limit,500m”),最大不能超过1000M。“,”to“:”en“,”sentLen“:{”srcSentLen“:[14,16,168,1,17,60,18,58,14,39,14,14,14,28,14,60,14,43,14,14,14,14,14,79,14,78,14,18,67,46,30,50,14,71,70,49,17,5,120,23,69,40,13,115,5,36,39,10,83,5,102,4],”transSentLen“:[15,47,609,1,40,225,50,109,14,42,14,14,32,14,97,14,81,14,175,14,174,14,54,197,110,82,89,14,238,247,184,62,5,399,61,200,101,25,336,5,99,58,17,226,5,193,4]}}]
}]
