安全设置集合整理

安全设置集合整理,第1张

dedecms安全设置集合整理

说白了,很多网络黑客都是用专门的工具黑进扫描器,有实力的人对黑进大家的网站论坛不屑一顾,所以大家做好安全就可以了。以下是我收集整理的。大家可以参考设置。

第一、安裝的情况下数据库查询的表作为前缀,最好是改一下,不用dedecms默认设置的作为前缀dede_,能够改成ljs_,随意一个名字就可以。
第二、后台登录打开短信验证码功能,将默认设置管理人员admin删除,改成一个自身专用型的,繁杂点的账户。
第三、装好程序流程后尽量删除install目录
第四、将dedecms管理后台默认设置目录名dede改正。
第五、用不上的功能一概关掉,例如vip会员、评价等,要是没有必需全都在后台管理关掉。
第六、下列一些是能够删除的目录:

membervip会员功能
special专题讲座功能
company公司控制模块
plus\guestbook留言板留言

下列是能够删除的文档:
管理方法目录下的这种文档是后台管理文件浏览器,归属于不必要功能,并且最危害安全性
file_manage_control.phpfile_manage_main.phpfile_manage_view.phpmedia_add.phpmedia_edit.phpmedia_main.php

还有:

不用SQL指令运作器的将dede/sys_sql_query.php文档删除。
不用tag功能请将根目录下的tag.php删除。不用顶客请将根目录下的digg.php与diggindex.php删除。
友链地区也非常容易被镜像劫持,能够将数据库查询中的dede_flink,dede_mytag表更名这类。
第七、多关心dedecms官方发布的安全更新,立即打上补丁下载。
第八、免费下载公布功能(管理方法目录下soft__xxx_xxx.php),不用得话能够删除,这一也较为非常容易提交小龙的.
第九、DedeCms官方网站出的全能安全防范编码,发了在文章内容后边,官方网站的要vip会员才可以看.
为了更好地让大伙儿的CMS更安全性,有必须的手工制作在config_base.php里再加上
开启

复制代码编码以下:
config_base.php
寻找
//严禁客户递交一些独特自变量
$ckvs=Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvsas$ckv){
if(is_array($$ckv)){
foreach($$ckvAS$key=>$value)
if(eregi("^(cfg_|globals)",$key))unset(${$ckv}[$key]);
}
}

改成下边编码

复制代码编码以下:
//把get、post、cookie里的<?换成<?
$ckvs=Array('_GET','_POST','_COOKIE');
foreach($ckvsas$ckv){
if(is_array($$ckv)){
foreach($$ckvAS$key=>$value)
if(!empty($value)){
${$ckv}[$key]=str_replace('<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key]=str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key))unset(${$ckv}[$key]);
}
}
//检验提交的文档中是不是有PHP编码,有立即撤出解决
if(is_array($_FILES)){
foreach($_FILESAS$name=>$value){
${$name}=$value['tmp_name'];
$fp=@fopen(${$name},'r');
$fstr=@fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!=''&&ereg("<\?",$fstr)){
echo"你提交的文档中带有风险內容,程序流程停止解决!";
exit();
}
}
}

第十、最安全性的方法:当地公布html,随后上传入室内空间。不包含一切动态性內容,理论上最安全性,但是维护保养相对而言较为不便。
十一,還是得常常查验自身的网址,被挂暗链是琐事,被挂木马病毒或删程序流程就非常惨了,运气差得话,排行也会跟随掉。因此还得还记得常常备份数据数据信息.

十二、将一些目录严禁实行脚本制作,比如uploads、静态数据形成目录等
十三、针对后台管理必须实行的php目录,设定严禁网址匿名用户,具备载入管理权限。


其他填补:

Dedecms织梦cms是运用最普遍的开源系统建站程序,可是安全系数一直是它较大的难题,如何解决呢?

方式

下列目录:data、templets、uploads、a设定可读写能力不能实行管理权限。在其中a目录为文本文档HTML默认设置储存途径,能够在后台管理开展变更。
下列目录:include、member、plus、dede设定为可读可实行不能载入管理权限。在其中管理后台目录(默认设置dede),可自主改动。
假如仅仅应用文章内容系统软件并沒有应用vip会员功能,则强推强烈推荐:关掉vip会员功能、关掉新注册会员、立即删除member目录或更名。
删除install安装目录。
管理人员登录密码尽可能设定繁杂,公布文章内容能够新创建频道栏目管理人员,而且只给与有关管理权限。
Mysql数据库查询连接,不应用root客户,独立创建新用户,并给与:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATETEMPORARYTABLES管理权限。
按时开展备份数据网址目录和数据库查询,并在后台管理开展文件校验、病毒扫描、系统异常恢复。
在dedecms的后台管理升级补丁下载,尽量升級为最新版。
查验是否/data/cache/t.php、/data/cache/x.php和/plus/index.php这种木马病毒文档,有得话则应该马上删除。
关键查询/plus/config_s.php此为dedecms里边的ddos攻击脚本制作。


常见问题
还可以安裝安全狗手机软件,可是有时实际 *** 作后台管理时很有可能会被阻拦
升级补丁下载,尽量升級为最新版。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/773864.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-03
下一篇 2022-05-03

发表评论

登录后才能评论

评论列表(0条)

保存