雨天IT技术网

当前位置: 网站首页 > 网络教程 > dedecms >

2017年dedecms5.7网站安全设置

时间:2017-01-09 14:24来源:雨天IT技术网 作者:雨天 点击:
用户织梦建站,网站安全不可忽视。给大家分享织梦各目录的安全设置教程。以供参考。 / 【站点上级目录】 假如要使用后台的目录相关的功能需求有列出目录的权限 //0444 / 【站点根目录】 需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入

用户织梦建站,网站安全不可忽视。给大家分享织梦各目录的安全设置教程。以供参考。

/ 【站点上级目录】

假如要使用后台的目录相关的功能需求有列出目录的权限 //0444

/ 【站点根目录】

需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限 //0755

/install 【安装程序目录】

需求有执行和读取权限 //建议安装完成以后删除或者改名 //0555

/dede 【后台程序目录】

需求有执行权限和读取权限 //建议安装完成以后修正目录名称 //0755

/include 【主程序目录】

需求有写入、执行权限和读取权限 //0755 //建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555

/member 【会员目录】

需求执行读取和权限 //建议去掉写入权限以及修正权限//0555

/plus 【插件目录】

需求有读取、写入和执行的权限 //建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755

/data 【站点缓存数据等文件】

需求有读取权限和写入修正权限 //建议去掉执行权限//0666

/html 【HTML文档默认目录】

需求有读取修正和创建权限 //建议去掉执行权限 //0666

/templets【模板目录】

需求有读取 修正写入 权限 //建议去掉执行权限 //0666

/uploads 【附件目录】

需求写入读取权限 //建议去掉执行权限//0666

/company 【企业黄页程序目录】

需求读取和执行权限 //建议去掉写入权限//0555

/special 【专题文件目录】

需求执行、读取、写入和修正权限 //0755

/book 【书库模块程序目录】

需求执行、读取、写入和修正权限 //0755

/ask 【问答模块程序目录】

需求执行和读取权限 //建议去掉写入权限//0555

/group 【圈子模块程序目录】

需求执行和读取权限 //建议去掉写入权限 //0555
 

dede安全是一直令人堪忧的,但是其用来建网站很方便,如果我们使用dede来建站,一定要做好安全防护工作。

下面总结一下dede织梦5.7的安全防护设置

1、更改管理员名称和密码,尽可能设置的复杂一下,一般是大小写字母数字和特殊符号12位以上

2、强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT);

3、管理目录改名,最好是改成MD5形式的,最好长点,我一般改成20位大小子字母数字。

4、如果是使用HTML可以把plus下的相应文件和根目录下的index.php做掉(用不到的全删掉,还可以把数据库里面不用的表删除掉)

附上plus下的文件说明

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
如果是一开始就不想要的话,安装版plus目录下进行如下操作。
 
删除:guestbook文件夹【留言板】;
 
删除:task文件夹和task.php【计划任务控制文件】
 
删除:ad_js.php【广告】
 
删除:bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】
 
删除:bshare.php【分享到插件】
 
删除:car.php、posttocar.php和carbuyaction.php【购物车】
 
删除:comments_frame.php【调用评论,存在安全漏洞】
 
删除:digg_ajax.php和digg_frame.php【顶踩】
 
删除:download.php和disdls.php【下载和次数统计】
 
删除:erraddsave.php【纠错】
 
删除:feedback.php、feedback_ajax.php、feedback_js.php【评论】
 
删除:guestbook.php【留言】
 
删除:stow.php【内容收藏】
 
删除:vote.php【投票】

5、关注后台更新通知,检查是否打上最新dedeCMS补丁

6、安装完之后,删除intstall目录

7、管理目录下file_manage_xxx.php,不用的可以做掉,这个不是很安全,至少进了后台上传小马很方便

8、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以做掉,这个也比较容易上传小马的

9,目录权限设置: 
(1) data、templets、uploads、a目录, 设置可读写,不可执行的权限。
(2) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php
结论:还没设置的尽快设置吧,如果真不小心发生万一,哪真的很痛苦的。

10、不用留言本的可以把plus下的guestbook去掉
11、不用会员的可以把member去掉6、如果是使用HTML可以把plus下的相应文件和根目录下的index.php做掉(用不到的全删掉,还可以把数据库里面不用的表删除掉)
12、DedeCms 万能安全防护代码http://bbs.dedecms.com/read.php?tid=15538

(责任编辑:雨天)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
推荐内容