织梦dedecms用来搭建企业网站方便简单,目前国内很多的企业站都是使用织梦做的,不过织梦网站的安全问题一直以来都为人诟病,但也不必过于担心,只需要做好网站的安全防护设置就可以了。
(为了安全起见,建议先做好全站数据库备份和文件的备份,以下教程是 SEO 教程网 www.seoshipin.cn的总结经验。)
注意:操作前先备份网站数据库和文件。如果网站经过二次开发,修改过的文件不要删除替换。
一、打补丁,上传补丁文件替换
已知漏洞修复文件:
文件1:include/dedesql.class.php
文件2:include/uploadsafe.inc.php
文件3:include/dedemodule.class.php
文件4:include/dedetag.class.php
文件5:include/dedeajax2.js
文件6:include/dialog/select_images_post.php
文件7:include/dialog/select_soft_post.php
文件8:include/dialog/select_templets_post.php
文件9:dede/config.php
文件10:dede/article_description_main.php
文件11:dede/content_batchup_action.php
文件11:dede/makehtml_freelist_action.php
文件12:dede/file_class.php
文件13:plus/guestbook/edit.inc.php (如果自己网站上没有这个文件 那就不用上传)
以上几个文件存在漏洞,请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先 的做好备份,以防万一。
织梦漏洞补丁文件下载链接:
(链接可能会失效,失效的话,联系朝勇老师微信rdseo2)
二、修改默认后台文件夹名称
打开 FTP 软件,连接空间,打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随
意修改,比如修改为seowenda,此时后台登陆的路径为:域名/seowenda
三、删除不需要的文件
1、删除 member 文件夹
Member 文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,。这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。
2、删除 special 文件夹
Special 文件夹是专题的意思,基本都用不到这个专题页面,所以大家放心删掉好了。
3、删除根目录下的 install 文件夹
这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。
4、plus 插件文件夹
留下这么几个文件,其它全部删除,参考下图:
下面我们对这几个文件做下解释:
-
img 文件夹,这个是主要是 CSS 样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留
-
ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留
-
diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留
-
search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留
-
list.php 这动态栏目,一般的网站都是生成静态栏目的,但是有些用户喜欢动态栏目,即使你使用的 是静态栏目,这个保留也没影响,所以建议保留
-
view.php 这个是动态文章,道理和 list.php 一样,建议保留。
-
count.php 这个是文章浏览次数,建议保留。
如果实在看不懂,就按照截图保留,其它的都删除,删除前建议备份一份。
5、dede 文件夹下 删除以下文件
-
ad_add.php
-
ad_edit.php ad_main.php
-
adtype_main.php
这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个 只有少数新闻博客模版有广告 (
位)
———————————————————————————————————————————–
-
cards_make.php
-
cards_manage.php
-
cards_type.php
这几个是会员点卡功能 所有模版都没用到这个 直接删除
———————————————————————————————————————————–
-
feedback_edit.php
-
feedback_main.php
这是评论功能 所有模版都没用到这个 直接删除
———————————————————————————————————————————–
-
file_class.php
-
file_manage_control.php
-
file_manage_main.php file_manage_view.php
-
file_pic_view.php
这几个是附件管理–文件式管理器,这个是影响安全,很多用户在用这个功能必须删除,改成 FTP 上传文件图片等
———————————————————————————————————————————–
-
freelist_add.php
-
freelist_edit.php freelist_main.php
这几个是自由列表管理,所有模版都没用到这个,直接删除
———————————————————————————————————————————–
-
getdedesysmsg.php
这个是织梦官方广告 直接删除
———————————————————————————————————————————–
-
group_edit.php
-
group_guestbook.php
-
group_main.php
-
group_notice.php group_store.php
-
group_threads.php
-
group_user.php
这几个是圈子功能,所有模版都没用到这个,直接删除
———————————————————————————————————————————–
-
mail_file_manage.php
-
mail_getfile.php
-
mail_send.php mail_title.php
-
mail_title_send.php
-
mail_type.php
这几个邮件管理功能,所有模版都没用到这个,直接删除
———————————————————————————————————————————–
-
mda_main.php
这个是织梦官方广告,直接删除
———————————————————————————————————————————–
-
media_add.php
-
media_edit.php media_main.php
这几个是上传文件,这个是影响安全,很多用户在用这个功能 必须删除,改成 FTP 上传文件图片等
———————————————————————————————————————————–
-
member_do.php
-
member_feed_edit.php
-
member_guestbook.php
-
….
所有的 member_开头的 这些是会员注册等,模版中不带会员的话 这些都删除
———————————————————————————————————————————–
-
mynews_add.php
-
mynews_edit.php
-
mynews_main.php
这几个是站内新闻,所有模版都没用到这个,直接删除
———————————————————————————————————————————–
-
mytag_add.php
-
mytag_edit.php mytag_main.php
-
mytag_tag_guide.php
-
mytag_tag_guide_ok.php
这几个是自定义标记 所有模版都没用到这个 直接删除
———————————————————————————————————————————–
-
shops_delivery.php
-
shops_operations.php
-
shops_operations_cart.php
-
shops_operations_userinfo.php
订单功能 也是带会员的才会用到 ,没有会员功能的话,这些都删除
———————————————————————————————————————————–
-
spec_add.php
-
spec_edit.php
这几个专题功能,所有模版都没用到这个,直接删除
———————————————————————————————————————————–
-
story_add.php
-
story_add_action.php
-
….
-
story_photo_edit.php
所有的 story_ 开头的 这些都是小说功能 所有模版都没用到这个 直接删除
———————————————————————————————————————————–
-
vote_add.php
-
vote_getcode.php
-
vote_edit.php
-
vote_main.php
这几个是投票功能 所有模版都没用到这个 直接删除
———————————————————————————————————————————–
四、修改后台登录用户名和密码
1、修改密码。
登录网站后台,点击系统-系统用户管理,点更改,然后设置新的登录密码,复制右边的安全验证串,点击保存用户,就可以修改成功。
2、修改后台登录用户名。
织梦后台登录用户名默认的是 admin,大家发现不能修改用户名,其实是可以的,按以下步骤操作:
(1)点击【核心】-【批量维护】,找到数据库内容替换,如图:
(或者直接输入链接即可,如:http://域名/dede/sys_data_replace.php)
(2)点击 dede_admin,点击字段 userid,再被替换的内容右边填写 admin(旧的用户名),在替换为右边填写新的用户名,如下图:
新的用户名要记好,以免不知道用户名,进不去后台。
五、网站权限设置
1、禁止执行 PHP 脚本
Apache 环境下,在.htaccess 文件中写入如下规则:
#针对 uploads,data,templets 三个目录做了执行 php 脚本限制 RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ - [F] RewriteRule data/(.*).(php)$ - [F] RewriteRule templets/(.*).(php)$ - [F]
2、data/common.inc.php 数据库连接文件 禁止写入与执行,只允许读取模板
打开 ftp 软件,连接空间,打开 data 文件夹,选中 common.inc.php 文件,右键-文件属性,设置权限为 644。
六、域名和空间(服务器)安全
1、域名。
域名是网站的入口之一,也是网站被黑的一个切入口,如果域名出了问题,网站就不能打开了。那么怎么保证域名的安全呢?
(1)选择正规靠谱的注册商
(2)域名注册的信息务必如实填写
(3)尽量使用域名商提供的正规 DNS 解析,慎用免费的解析
2、空间服务器安全措施
(1)安全组合:服务器及网站防护(安全狗/服务器防火墙等)+WEB 常规防护和访问加速(CDN云加速)+网站安全预警和日常监测
(2)使用云防护工具:安全狗、悬镜等
(3)通过 ftp 来上传、维护网页,尽量不安装 asp 的上传程序
(4)日常要多维护,并注意空间中是否有来历不明的文件
七、网站定期备份,不要嫌麻烦
网站备份,包括网站文件的备份和数据库的备份,建议一周备份一次。
织梦 dedecms 网站备份操作步骤如下:
(1)数据库备份 :需 要登录织梦网站管理后台 ,打开 ” 系 统 – 数据库备份 /还 原 ” ,点 击” 提 交 “即可。
(2)网站文件备份:可以到空间服务器管理后台,使用文件压缩功能,把网站整站压缩了,然后通过 FTP工具下载到电脑上。
(3)完成上述两步后,织梦网站就完成备份了。
粤公网安备 44098102441080号
