原文来自:https://www.zixuephp.com

Dedecms织梦安全设置之如何防止挂木马与sql注入

dedecms是一个开源的网站系统在国内使用的用户很多,因为开源所有经常给人有了注入的机会,如果我们不配置好安全或及时更新网站可能经常会被挂木马或病毒之类的,下面我来总结一些dedecms安全设置经验之谈.

1、网站在安装的时候,可以把网站表的默认前缀dede_,改成其它的比如dule_,随便一个都可以的。

2、将网站的后台登录地址更换,dedecms的后台默认登录地址是http://www.你的网址/dede,可以把dede文件夹换成其它名字。

3、降网站的默认管理员删了之后,新建一个自己专用的拥有全陪的权限帐号,密码最好是复杂一点。

4、网站安装好之后删除install文件目录

5、网站上面的用不到功能进行清理,比如会员,评论,等

6、多关注dedecms管网,如果出现安全补丁,及时进行身级。

7、最近dedecms官网出一万能安全防护代码,可以登录官网站到论坛去下载。

8、可以根据自己的需要删除目录:member、special、company、plusguestbook

更要注意:文件管理器,这个是会通过hack挂马的:file_manage_control.php、file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、media_main.php

SQL命令运行器:dede/sys_sql_query.php

tag功能:tag.php

digg.php与diggindex.php

9、及时打补丁

第十、下载发布功能:我也忘记了(好像似soft_x_x.php)

10、万能安全防护代码:config_base.php在这里面设置,代码如下:

  1. //禁止用户提交某些特殊变量
  2. $ckvs=Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);
  3. foreach($ckvsas$ckv){
  4. if(is_array($$ckv)){
  5. foreach($$ckvAS$key=>$value)
  6. if(eregi(“^(cfg_|globals)”,$key))unset(${$ckv}[$key]);
  7. }
  8. }

改为这个,代码如下:

  1. //把get、post、cookie里的$ckvs=Array('_GET','_POST','_COOKIE');
  2. foreach($ckvsas$ckv){
  3. if(is_array($$ckv)){
  4. foreach($$ckvAS$key=>$value)
  5. if(!emptyempty($value)){
  6. ${$ckv}[$key]=str_replace(‘<'.'?','&'.'lt;'.'?',$value);
  7. ${$ckv}[$key]=str_replace('?'.'>‘,’?’.’&’.’gt;’,${$ckv}[$key]);
  8. }
  9. if(eregi(“^cfg_|globals”,$key))unset(${$ckv}[$key]);
  10. }
  11. }
  12. //检测上传的文件中是否有PHP代码,有直接退出处理
  13. if(is_array($_FILES)){
  14. foreach($_FILESAS$name=>$value){
  15. ${$name}=$value['tmp_name'];
  16. $fp=@fopen(${$name},’r');
  17. $fstr=@fread($fp,filesize(${$name}));
  18. @fclose($fp);
  19. if($fstr!=”&&ereg(“<!–?”,$fstr)){
  20. echo“你上传的文件中含有危险内容,程序终止处理!”;
  21. exit();
  22. }
  23. }}

11、定期做好备份

12、那些文件该设置可读,那些可以可读跟写入

13.大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件,设置此目录权限。

最后谨记一点经常检查自己的网站,是否被挂黑链,被挂是小事,如果被挂木马删程序的话不好了,严重一点的,网站的排名都会掉的,所以及时检查网站,也及给网站定时的备份,保证网站安全的运行,这些事情都会在意料之外发现的,做好防范措施.