官方設(shè)置(推薦):
1�、以下目錄:data、templets��、uploads��、a設(shè)置可讀寫不可執(zhí)行權(quán)限���。其中a目錄為文檔HTML默認(rèn)保存路徑���,可以在后臺(tái)進(jìn)行更改;
2��、以下目錄:include���、member�����、plus��、dede設(shè)置為可讀可執(zhí)行不可寫入權(quán)限����。其中后臺(tái)管理目錄(默認(rèn)dede),可自行修改�;
3、如果不需要使用會(huì)員�����、專題�����,可以直接刪除member�����、special目錄�;
4、刪除install安裝目錄����;
5、管理員帳號(hào)密碼盡量設(shè)置復(fù)雜�����,發(fā)布文章可以新建頻道管理員����,并且只給予相關(guān)權(quán)限;
6�、Mysql數(shù)據(jù)庫鏈接,不使用root用戶�����,單獨(dú)建立新用戶�����,并給予:SELECT��、INSERT����、UPDATE、DELETE�����、CREATE�、DROP��、INDEX��、ALTER�����、CREATE TEMPORARY TABLES權(quán)限��;
7�、定期進(jìn)行備份網(wǎng)站目錄和數(shù)據(jù)庫���,并在后臺(tái)進(jìn)行文件校驗(yàn)�、病毒掃描���、系統(tǒng)錯(cuò)誤修復(fù)���。
網(wǎng)友總結(jié)一:
不知道大家知不知道一個(gè)軟件叫IntelliTamper的,這是個(gè)網(wǎng)站目錄掃描工具�����,用這個(gè)工具掃描下你的網(wǎng)站就可以掃描出網(wǎng)站的目錄�����,當(dāng)然也可以看到DEDE后臺(tái)文件名��。在這里不得不吐槽下后臺(tái)地址的問題���,dedeCMS改后臺(tái)地址只要改下DEDE文件夾的名字就行了���,然后有次我在一個(gè)電商公司管理ECShop系統(tǒng),技術(shù)部的老總(他P都不懂)在旁邊�����,我跟他說網(wǎng)站改下后臺(tái)地址就更安全了����。于是我跟用DEDE一樣改下后臺(tái)文件夾名字,然后…..FK�����,竟然出錯(cuò)了�,當(dāng)時(shí)臉紅紅的(窘…)。上度娘一查����,原來還要修改一些PHP文件才可以的����。然后這次玩WP�,不敢亂改后臺(tái)文件夾的名字了,再次上度娘找改后臺(tái)地址的方法����,妹的,竟然沒一個(gè)好用的…..(貌似我又跑題了)
所謂的安全方案原理就是:網(wǎng)站所有靜態(tài)頁面生成到根目錄��,對瀏覽者隱藏dede安裝目錄���。這樣別人不管用什么工具都不能檢測到你的后臺(tái)地址了��。
在這里所說的��,就是你把網(wǎng)站做好�����,在空間或者服務(wù)器上安裝好了之后�,網(wǎng)站運(yùn)行一切正常���,再設(shè)置安全方案�,當(dāng)然,最好是在本地就把安全方案也一塊做了�����。
1.主頁生成路徑
把主頁生成路徑的位置改成 ../../index.htm
2.修改欄目文件保存位置
把核心-網(wǎng)站欄目管理-選一個(gè)欄目更改���,然后在文件保存目錄那 的 {cmspath}/a/xinwendongtai 把{cmspath} 刪掉,也就是說只要 /a/xinwendongtai 前面的斜杠記得留著�����,注意:必須每個(gè)欄目都點(diǎn)擊更改來刪除�,當(dāng)然你也可以到數(shù)據(jù)用替換命令。改完確定后�,靜態(tài)文件就會(huì)保存在根目錄的a文件夾里面了。
修改include/common.inc.php文件
打開根目錄下的include文件夾��,找到里面的common.inc.php打開�,搜索里面的
$cfg_medias_dir = $cfg_cmspath.$cfg_medias_dir;
$cfg_mediasurl = $cfg_mainsite.$cfg_medias_dir;
改成
$cfg_medias_dir =$cfg_medias_dir;
$cfg_mediasurl =$cfg_medias_dir;
$cfg_mainsite.是指網(wǎng)站根目錄 $cfg_mainsite.是指網(wǎng)站縮略圖路徑,就是把縮略圖路徑改到根目錄����。大家知道��,縮略圖是放在DEDE后臺(tái)目錄下的images文件夾����,所以…..
打開include/arc.listview.class.php跟 include/taglib/arclist.lib.php查找defaultpic.gif����,就是縮略圖的文件名。定位到
$row[‘litpic’] = $GLOBALS[‘cfg_cmspath’].’/images/defaultpic.gif’;
把images前面的 $GLOBALS[‘cfg_cmspath’]. 刪除�,就變成
$row[‘litpic’] = ‘/images/defaultpic.gif’;
注意:這兩個(gè)文件只會(huì)影響arclist和list標(biāo)簽調(diào)默認(rèn)縮略圖。還有其它一些標(biāo)簽也可以調(diào)默認(rèn)縮略圖的�����。
還要在模板文件中不能使用{dede:global.cfg_templets_skin/}標(biāo)簽�,一使用就會(huì)暴露dede安裝目錄的名字,請自行查找�����。
DEDE織夢CMS終極安全解決方案
移動(dòng)css文件���、JS文件���、圖片文件
因?yàn)槟0逵玫臉邮轿募D片都是放在模板文件夾中����,一看址就會(huì)暴露���,所以�,這里要把網(wǎng)站涉及的css文件����、JS文件�、圖片文件通通放到根目錄。然后到模板里面修改圖片還有樣式文件調(diào)用的路徑�。建議到本地修改,因?yàn)镈W的替換功能可以文件夾替換����,一般都是刪除{dede:global.cfg_templets_skin/}就可以了。
移動(dòng)DEDE文件
到根目錄新建一個(gè)文件夾��,比如改名xiedandan�,名字自己取,然后把data����、dede�����、include��、plus����、special��、tags.php移動(dòng)到新建的文件夾xiedandan中����,所以后臺(tái)登陸地址就是www.xiedandan.com/xiedandan/dede
注意:member文件夾是會(huì)員功能,如果不用的可以刪除����,當(dāng)然,你也可以一起移動(dòng)到新建的文件夾中��。什么����?install文件夾你都不刪除��?這是安裝文件阿���,裝好后必須刪!
還有將dede安裝目錄下的uploads復(fù)制到根目錄���。
最后來張全家福
DEDE織夢CMS終極安全解決方案
最后的最后�����,再用IntelliTamper檢測下你的網(wǎng)站吧���,看看是不是檢測不到模板、后臺(tái)地址了����?
網(wǎng)友總結(jié)二:
本人以前所有dede的網(wǎng)站都被黑了���,dede是好用����,優(yōu)化也好�,就是不安全,個(gè)人是這樣認(rèn)為的,所以以后網(wǎng)站都不敢用dede�,直到昨天一哥們發(fā)我收集dede的所有安全設(shè)置,里面寫得很細(xì)�����,一看�����,還真多��,如果做好這些安全設(shè)置的話�,就不要怕網(wǎng)站被黑了!
其一:保持DEDE更新�,及時(shí)打補(bǔ)丁。
其二:裝好DEDE后及時(shí)把install文件夾刪除
其三:管理目錄改名����,最好是改成MD5形式的,最好長點(diǎn)
其四:DedeCms 萬能安全防護(hù)代碼http://bbs.dedecms.com/read.php?tid=15538
其五:如果是使用HTML可以把plus下的相應(yīng)文件和根目錄下的index.php做掉(用不到的全刪掉�����,還可以把數(shù)據(jù)庫里面不用的表刪除掉)
其六:不用留言本的可以把如:www.xxxxxx.com/plus下的guestbook做掉
其七:不用會(huì)員的可以把member做掉
其八:www.xxxxxx.com后臺(tái)的文件管理(管理目錄下file_manage_xxx.php)���,不用的可以做掉�����,這個(gè)不是很安全�,至少進(jìn)了后臺(tái)上傳小馬很方便
其九:下載發(fā)布功能(管理目錄下soft__xxx_xxx.php),不用的話可以做掉��,這個(gè)也比較容易上傳小馬的
最安全地方式:本地發(fā)布html�����,然后上傳到空間����。不包含任何動(dòng)態(tài)內(nèi)容,理論上最安全�����。
第一:掛馬前的安全措失
a����、改更默認(rèn)管理目錄dede�����。
b、檢查install目錄里是否存在install.lock文件���。有用戶沒給install目錄寫權(quán)限導(dǎo)致安裝的時(shí)候沒有生成lock文件�。安裝完成后可整個(gè)刪除intstall目錄���。
c��、關(guān)注后臺(tái)更新通知�,檢查是否打上最新dedeCMS補(bǔ)丁
d���、服務(wù)器web目錄權(quán)限設(shè)置
有條件的用戶把DedeCms中data�、templets���、uploads�、html����、special、images���、install目錄設(shè)置為不允許執(zhí)行腳本�,其它目錄禁止寫入,系統(tǒng)將更安全��。
e�、建議到官方下載程序
f、服務(wù)器安全措施(以windows2003系統(tǒng)為例)
1���、更新系統(tǒng)補(bǔ)丁到最新的�����,并打開自動(dòng)更新
2�、安裝殺毒軟件�����,更新病毒庫到最新�����,并打開自動(dòng)更新
3�����、打開系統(tǒng)自帶的防火墻��,開放應(yīng)用中的端口��,以過濾不必要的端口訪問
4���、打開tcp/ip安全策略���,開放應(yīng)用中的端口,以過濾不必要的端口訪問
5���、打開用戶與用戶組管理�,添加IUSR用戶對應(yīng)不同WEB站點(diǎn)���,以便分權(quán)限管理減少因一站點(diǎn)被黑帶來的權(quán)限危機(jī)
6����、針對不同的WEB目錄設(shè)置不同的權(quán)限
例:WebSiteA目錄對應(yīng)權(quán)限一般為system/administrators完全權(quán)限 IUSR_websiteA只讀權(quán)限
WebsiteA下面的子目錄根據(jù)DedeCMS程序的需求分配IUSR_websiteA的寫入運(yùn)行權(quán)限����,詳見上面b點(diǎn)目錄權(quán)限說明
7、不要在服務(wù)器上安裝不明來路的軟件
8��、不要在服務(wù)器上安裝什么破解版漢化版軟件,如果實(shí)在需要建議用原版
9����、建議不要安裝ServU FTP軟件,換用其它的FTP軟件��,更改FTP端口�����,用戶密碼不要太簡單
10����、如果不需要請盡量關(guān)閉服務(wù)應(yīng)用的遠(yuǎn)程訪問功能,如mysql user的遠(yuǎn)程訪問
11��、針對上面一點(diǎn)���,可以運(yùn)用本地安全策略功能���,設(shè)置允許訪問IP。
12�、運(yùn)用本地安全策略,還可以有效拒絕CC攻擊,過濾來源IP的訪問����。
13��、服務(wù)器上各項(xiàng)服務(wù)應(yīng)用注意及時(shí)更新補(bǔ)丁�����,如mssql切記打補(bǔ)丁��,而且要使用正版的���,沒條件的也要使用正規(guī)的復(fù)制版本
14����、服務(wù)器上的各項(xiàng)應(yīng)用如IIS配置mysql配置�����,請搜索百度谷歌這方面的安全應(yīng)用的專題���,加強(qiáng)內(nèi)功是很重要的����。
15、開啟IIS的訪問日志記錄
第二:掛馬后的安全檢查
必要時(shí)關(guān)閉網(wǎng)站進(jìn)入一步步排查
a��、進(jìn)DedeCMS管理后臺(tái)檢查是否有新補(bǔ)丁或安全提醒沒有及時(shí)更新��。
b���、檢查源文件中是否有相應(yīng)木馬病毒代碼��,以確認(rèn)是否為ARP攻擊
ARP攻擊表現(xiàn):程序文件毫無異動(dòng)��,攻擊是采用欺騙目標(biāo)網(wǎng)關(guān)以達(dá)到欺騙用戶端的效果����,實(shí)現(xiàn)用戶端訪問網(wǎng)站加載木馬的目的�。
ARP攻擊防范:對服務(wù)器加裝防ARP攻擊類的軟件及其它應(yīng)對措施,或聯(lián)系您的IDC服務(wù)商����。
c、檢查目錄權(quán)限�����,詳見第一大點(diǎn)里的安全措施。
d�、檢查FTP里的每一個(gè)目錄,查找最近被修改過的可疑文件���。
1����、用記事本等類工具打開查找��,如果是真被掛馬���,這里分析下都能找到。
2��、如果是整站被掛����,請著重先檢查下整站調(diào)用的js文件。
3�����、從文件中找出被掛的代碼���,復(fù)制代碼的關(guān)鍵語句部分�����,打開替換類軟件批量替或批量找吧����。
4、上面一步需要有服務(wù)器控制權(quán)限�����,沒有的話只能下載回來批了��。(這是謹(jǐn)慎的辦法���,如果你有把握那可以只檢查部分文件或目錄)
e���、上面還是解決不了,那得分析IISLOG日志�,追根朔源查找入侵點(diǎn)。
你可以下載IISlog分析類軟件研究��。
第三:如何向官方求助或報(bào)告安全問題�����?
1、查看木馬���、可疑文件的修改時(shí)間
2���、查看站點(diǎn)系統(tǒng)日志,對照第1點(diǎn)所獲得的時(shí)間�����,找出掛馬的方式�����。
3���、請先認(rèn)真閱讀理解一二大點(diǎn),確認(rèn)仍無法解決的����,請論壇PM官方技術(shù)支持
