• 注册
  • 当前位置: SEO问答社区 > 织梦dedecms > 织梦网站安全 > 正文

    织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

  • 查看作者
  • 打赏作者
  • 织梦网站安全 278 发布时间:2021-08-23 16:31:18
    • 织梦网站安全
    • 织梦dedecms用来搭建企业网站方便简单,目前国内很多的企业站都是使用织梦做的,不过织梦网站的安全问题一直以来都为人诟病,但也不必过于担心,只需要做好网站的安全防护设置就可以了。

      (为了安全起见,建议先做好全站数据库备份和文件的备份,以下教程是 SEO 教程网 www.seoshipin.cn的总结经验。) 

       

      注意:操作前先备份网站数据库和文件。如果网站经过二次开发,修改过的文件不要删除替换。 

       

      一、打补丁,上传补丁文件替换 

      已知漏洞修复文件: 

      文件1:include/dedesql.class.php

      文件2:include/uploadsafe.inc.php

      文件3:include/dedemodule.class.php

      文件4:include/dedetag.class.php

      文件5:include/dedeajax2.js

      文件6:include/dialog/select_images_post.php

      文件7:include/dialog/select_soft_post.php

      文件8:include/dialog/select_templets_post.php

      文件9:dede/config.php

      文件10:dede/article_description_main.php

      文件11:dede/content_batchup_action.php

      文件11:dede/makehtml_freelist_action.php

      文件12:dede/file_class.php 

      文件13:plus/guestbook/edit.inc.php (如果自己网站上没有这个文件 那就不用上传)

       

      以上几个文件存在漏洞,请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先 的做好备份,以防万一。 

      织梦漏洞补丁文件下载链接: 链接

      (链接可能会失效,失效的话,联系朝勇老师微信rdseo2)

      二、修改默认后台文件夹名称 

      打开 FTP 软件,连接空间,打开网站根目录,找到[dede],这个文件夹就是后台的路径,可以随 

      意修改,比如修改为seowenda,此时后台登陆的路径为:域名/seowenda

      三、删除不需要的文件 

      1、删除 member 文件夹 

      Member 文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多用户都是做了企业站,并不需要会员功能,。这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。 

       

      2、删除 special 文件夹 

      Special 文件夹是专题的意思,基本都用不到这个专题页面,所以大家放心删掉好了。 

       

      3、删除根目录下的 install 文件夹 

      这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。 

       

      4、plus 插件文件夹 

      留下这么几个文件,其它全部删除,参考下图:

      织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

      下面我们对这几个文件做下解释:

      • img 文件夹,这个是主要是 CSS 样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留 

      • ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 

      • diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留

      • search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留 

      • list.php 这动态栏目,一般的网站都是生成静态栏目的,但是有些用户喜欢动态栏目,即使你使用的 是静态栏目,这个保留也没影响,所以建议保留 

      • view.php 这个是动态文章,道理和 list.php 一样,建议保留。 

      • count.php 这个是文章浏览次数,建议保留。 

      如果实在看不懂,就按照截图保留,其它的都删除,删除前建议备份一份。 

      5、dede 文件夹下 删除以下文件 

      • ad_add.php

      • ad_edit.php ad_main.php

      • adtype_main.php

      这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个 只有少数新闻博客模版有广告 (

      位) 

      -----------------------------------------------------------------------------------------------------------------------------------

      • cards_make.php

      • cards_manage.php

      • cards_type.php

      这几个是会员点卡功能 所有模版都没用到这个 直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • feedback_edit.php

      • feedback_main.php

      这是评论功能 所有模版都没用到这个 直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • file_class.php

      • file_manage_control.php

      • file_manage_main.php file_manage_view.php

      • file_pic_view.php

      这几个是附件管理-文件式管理器这个是影响安全,很多用户在用这个功能必须删除,改成 FTP 上传文件图片等

      -----------------------------------------------------------------------------------------------------------------------------------

      • freelist_add.php

      • freelist_edit.php freelist_main.php

      这几个是自由列表管理,所有模版都没用到这个,直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • getdedesysmsg.php

      这个是织梦官方广告 直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • group_edit.php

      • group_guestbook.php

      • group_main.php

      • group_notice.php group_store.php

      • group_threads.php

      • group_user.php

      这几个是圈子功能,所有模版都没用到这个,直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • mail_file_manage.php

      • mail_getfile.php

      • mail_send.php mail_title.php

      • mail_title_send.php

      • mail_type.php

      这几个邮件管理功能,所有模版都没用到这个,直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • mda_main.php

      这个是织梦官方广告,直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • media_add.php

      • media_edit.php media_main.php

      这几个是上传文件,这个是影响安全,很多用户在用这个功能 必须删除,改成 FTP 上传文件图片等 

      -----------------------------------------------------------------------------------------------------------------------------------

      • member_do.php

      • member_feed_edit.php

      • member_guestbook.php

      • ....

      所有的 member_开头的 这些是会员注册等,模版中不带会员的话 这些都删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • mynews_add.php

      • mynews_edit.php

      • mynews_main.php

      这几个是站内新闻,所有模版都没用到这个,直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • mytag_add.php

      • mytag_edit.php mytag_main.php

      • mytag_tag_guide.php

      • mytag_tag_guide_ok.php

      这几个是自定义标记 所有模版都没用到这个 直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • shops_delivery.php

      • shops_operations.php

      • shops_operations_cart.php

      • shops_operations_userinfo.php

      订单功能 也是带会员的才会用到 ,没有会员功能的话,这些都删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • spec_add.php

      • spec_edit.php

      这几个专题功能,所有模版都没用到这个,直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • story_add.php

      • story_add_action.php 

      • ....

      • story_photo_edit.php

      所有的 story_ 开头的 这些都是小说功能 所有模版都没用到这个 直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      • vote_add.php

      • vote_getcode.php

      • vote_edit.php 

      • vote_main.php

      这几个是投票功能 所有模版都没用到这个 直接删除 

      -----------------------------------------------------------------------------------------------------------------------------------

      四、修改后台登录用户名和密码 

      1、修改密码。

      登录网站后台,点击系统-系统用户管理,点更改,然后设置新的登录密码,复制右边的安全验证串,点击保存用户,就可以修改成功。

      织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

      2、修改后台登录用户名。

      织梦后台登录用户名默认的是 admin,大家发现不能修改用户名,其实是可以的,按以下步骤操作: 

      (1)点击【核心】-【批量维护】,找到数据库内容替换,如图:

      (或者直接输入链接即可,如:http://域名/dede/sys_data_replace.php)

      织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

      (2)点击 dede_admin,点击字段 userid,再被替换的内容右边填写 admin(旧的用户名),在替换为右边填写新的用户名,如下图:

      织梦dedecms安全设置指南(全面加强网站安全,防止网站被黑)

      新的用户名要记好,以免不知道用户名,进不去后台。

      五、网站权限设置 

      1、禁止执行 PHP 脚本 

      Apache 环境下,在.htaccess 文件中写入如下规则: 

      #针对 uploads,data,templets 三个目录做了执行 php 脚本限制 
      RewriteEngine on RewriteCond % !^$
      RewriteRule uploads/(.*).(php)$ - [F]
      RewriteRule data/(.*).(php)$ - [F]
      RewriteRule templets/(.*).(php)$ - [F]

      2、data/common.inc.php 数据库连接文件 禁止写入与执行,只允许读取模板 

      打开 ftp 软件,连接空间,打开 data 文件夹,选中 common.inc.php 文件,右键-文件属性,设置权限为 644。 

      六、域名和空间(服务器)安全 

      1、域名。

      域名是网站的入口之一,也是网站被黑的一个切入口,如果域名出了问题,网站就不能打开了。那么怎么保证域名的安全呢? 

      (1)选择正规靠谱的注册商 

      (2)域名注册的信息务必如实填写 

      (3)尽量使用域名商提供的正规 DNS 解析,慎用免费的解析 

       

      2、空间服务器安全措施 

      (1)安全组合:服务器及网站防护(安全狗/服务器防火墙等)+WEB 常规防护和访问加速(CDN云加速)+网站安全预警和日常监测 

      (2)使用云防护工具:安全狗、悬镜等 

      (3)通过 ftp 来上传、维护网页,尽量不安装 asp 的上传程序 

      (4)日常要多维护,并注意空间中是否有来历不明的文件 

      七、网站定期备份,不要嫌麻烦 

      网站备份,包括网站文件的备份和数据库的备份,建议一周备份一次。 

      织梦 dedecms 网站备份操作步骤如下: 

      (1)数据库备份 :需 要登录织梦网站管理后台 ,打开 " 系 统 - 数据库备份 /还 原 " ,点 击" 提 交 "即可。 

      (2)网站文件备份:可以到空间服务器管理后台,使用文件压缩功能,把网站整站压缩了,然后通过 FTP工具下载到电脑上。 

      (3)完成上述两步后,织梦网站就完成备份了。 

      请登录之后再进行评论

      登录
    • 发表内容
    • 做任务