首页 > CMS应用 > 正文
dedecms安全设置 让你的网站再无后顾之忧

dedecms因为上手简单,可拓展性强,拥有很广泛的用户群,但是也正式因为用户群过于庞大,用户的技术能力参差不齐,有不少使用过这个程序的人都会有遇到过网站程序被黑的经历,加上官方一直处于一个停滞的状态,这一点也使得dedecms一直广为大家诟病,今天的话主要是分享一些dedecms的安全设置问题,希望你能用得上。

网络上比较通用的一些安全设置,例如:及时更新补丁、修改数据表头、开启验证码、删除安装目录、修改后台名称、删除不必要的功能如会员等、删除后台不必要的文件等等,基本上都是一些删或者是改的操作,基本上也都是治标不治本,并且所有的删减操作跟更新补丁本身就是相违背的,很多删掉的文件,在更新的时候补丁包里还会有,因为补丁的本身就是为了解决问题而不是忽略问题,这样的话更新之后还得再把之前要删除的文件再删一次,重复操作相当麻烦,好了现在开始今天的教程了。

第一步:将程序安装在网站子目录,静态文件生成在网站根目录。

1、在网站根目录新建子目录安装最新的官方程序包。

2、配置好一些基本操作之后,选择生成文件在根目录,如下图生成首页,系统默认生成首页主页位置为../index.html现在系统装在子目录那么生成主页的话就需要多加一层目录,修改为../../index.html

dedecms安全设置 让你的网站再无后顾之忧

3、分类目录以及文章页面的生成,添加栏目的时候定义你的栏目别名,文件保存目录选择网站根目录,文章页面格式不变。

备注:基本上你的网站被黑的第一步都会是被人用扫描器扫描你网站的基本架构,用以确定你的网站使用的是什么程序,然后再使用对应的木马程序获取你网站的权限,这里的话把网站安装在子目录可以是多级的子目录,你甚至可以把你的子目录定义成帝国cms的模式,这样的话后台在线更新完全不受影响,还能误导扫描你网站的人,误判你的网站程序,很大程度上杜绝入侵。

第二步:将系统文件夹data转移在根目录之外

1、已经配置好基本设置之后,找到你程序的data文件夹,下载到本地之后转移到网站的根目录之外,win服务器的话大概是www,linux服务器的话是public_html,具体以你的实际情况为准。下图中D:\dedecms\v57为网站根目录,那我们就把data转移到与V57同级的非web目录,并注意路径一定不要弄错。
dedecms安全设置 让你的网站再无后顾之忧

第二步 1 图1

dedecms安全设置 让你的网站再无后顾之忧

第二步 1 图2
2.修改DEDEDATA目录的配置常量,找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。如图只转移了一层目录,这里的设置就是一层目录,如果你实际设置有多层的话,根据实际情况添加目录层数。
dedecms安全设置 让你的网站再无后顾之忧

3、配置tplcache缓存文件目录,进入系统后台,在配置中修改tplcache目录为你相对的目录,层数问题同上。
dedecms安全设置 让你的网站再无后顾之忧

4、最后删掉原来的data文件夹,登录网站后台更新缓存,就完成了把data文件夹转移到站外的作业。

第三部:修改默认图片上传路径
上面有提到过通过伪装安装路径来让扫瞄者对网站程序的判定错误,但是问题来了,dedecms默认的图片上传路径都会带allimg的,如果想要伪装得彻底的,这里也是可以修改的,只是有一些违背我们上面讲的修改或者删除系统文件的问题,可以选择性的操作,毕竟扫描软件只是扫文件目录,并不会过多的关注你的图片附件,再加上很多人会使用附件服务器。那样的话就更加没有问题了。

在程序的include/common.inc.php文件查找allimg

//上传的普通图片的路径,建议按默认
$cfg_image_dir = $cfg_medias_dir.'/allimg';

第四部:免费加速工具的使用
有很多的网站入侵都是在入侵者知道你服务器IP的情况下,这个方法的话就是利用现在市场上比较常见的免费CDN服务,例如百度云加速、360网站卫士、加速乐、安全宝等等,在你建站初始就隐藏你的网站真实IP。并且这些加速服务器都是在防止扫描以及入侵功能的,在SEO上也基本上可以识别搜索引擎蜘蛛,用户访问加速节点而蜘蛛访问你的源网站。

总结:以上四部基本上就可以解决一些比较常见的入侵了,亲测一个使用了dedecms的网站运行2年多没有发生过一起的被黑挂马事件,但是就网站安全而言,不管是怎么程序,也不管是怎么样的安全策略,如果真的会产生价值,那么也一定还是会有人会动你网站的心思,所以日常的巡检以及安全维护也是必要的,不能松懈。

文章评论

共有 1 条评论

  1. 李世奇

    这个收藏了 很棒

Top