安全设置集合整理

dedecms安全设置集合整理

说白了，很多网络黑客都是用专门的工具黑进扫描器，有实力的人对黑进大家的网站论坛不屑一顾，所以大家做好安全就可以了。以下是我收集整理的。大家可以参考设置。

第一、安裝的情况下数据库查询的表作为前缀，最好是改一下，不用dedecms默认设置的作为前缀dede_,能够改成ljs_,随意一个名字就可以。
第二、后台登录打开短信验证码功能，将默认设置管理人员admin删除，改成一个自身专用型的，繁杂点的账户。
第三、装好程序流程后尽量删除install目录
第四、将dedecms管理后台默认设置目录名dede改正。
第五、用不上的功能一概关掉，例如vip会员、评价等，要是没有必需全都在后台管理关掉。
第六、下列一些是能够删除的目录：

membervip会员功能
special专题讲座功能
company公司控制模块
plus\guestbook留言板留言

下列是能够删除的文档：
管理方法目录下的这种文档是后台管理文件浏览器，归属于不必要功能，并且最危害安全性
file_manage_control.phpfile_manage_main.phpfile_manage_view.phpmedia_add.phpmedia_edit.phpmedia_main.php

还有：

不用SQL指令运作器的将dede/sys_sql_query.php文档删除。
不用tag功能请将根目录下的tag.php删除。不用顶客请将根目录下的digg.php与diggindex.php删除。
友链地区也非常容易被镜像劫持，能够将数据库查询中的dede_flink,dede_mytag表更名这类。
第七、多关心dedecms官方发布的安全更新，立即打上补丁下载。
第八、免费下载公布功能（管理方法目录下soft__xxx_xxx.php），不用得话能够删除，这一也较为非常容易提交小龙的.
第九、DedeCms官方网站出的全能安全防范编码，发了在文章内容后边，官方网站的要vip会员才可以看.
为了更好地让大伙儿的CMS更安全性，有必须的手工制作在config_base.php里再加上
开启

复制代码编码以下:
config_base.php
寻找
//严禁客户递交一些独特自变量
$ckvs=Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvsas$ckv){
if(is_array($$ckv)){
foreach($$ckvAS$key=>$value)
if(eregi("^(cfg_|globals)",$key))unset(${$ckv}[$key]);
}
}

改成下边编码

复制代码编码以下:
//把get、post、cookie里的<?换成<?
$ckvs=Array('_GET','_POST','_COOKIE');
foreach($ckvsas$ckv){
if(is_array($$ckv)){
foreach($$ckvAS$key=>$value)
if(!empty($value)){
${$ckv}[$key]=str_replace('<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key]=str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key))unset(${$ckv}[$key]);
}
}
//检验提交的文档中是不是有PHP编码，有立即撤出解决
if(is_array($_FILES)){
foreach($_FILESAS$name=>$value){
${$name}=$value['tmp_name'];
$fp=@fopen(${$name},'r');
$fstr=@fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!=''&&ereg("<\?",$fstr)){
echo"你提交的文档中带有风险內容，程序流程停止解决！";
exit();
}
}
}

第十、最安全性的方法：当地公布html，随后上传入室内空间。不包含一切动态性內容，理论上最安全性，但是维护保养相对而言较为不便。
十一，還是得常常查验自身的网址，被挂暗链是琐事，被挂木马病毒或删程序流程就非常惨了，运气差得话，排行也会跟随掉。因此还得还记得常常备份数据数据信息.

十二、将一些目录严禁实行脚本制作，比如uploads、静态数据形成目录等
十三、针对后台管理必须实行的php目录，设定严禁网址匿名用户，具备载入管理权限。


其他填补：

Dedecms织梦cms是运用最普遍的开源系统建站程序，可是安全系数一直是它较大的难题，如何解决呢？

方式

下列目录：data、templets、uploads、a设定可读写能力不能实行管理权限。在其中a目录为文本文档HTML默认设置储存途径，能够在后台管理开展变更。
下列目录：include、member、plus、dede设定为可读可实行不能载入管理权限。在其中管理后台目录(默认设置dede)，可自主改动。
假如仅仅应用文章内容系统软件并沒有应用vip会员功能,则强推强烈推荐:关掉vip会员功能、关掉新注册会员、立即删除member目录或更名。
删除install安装目录。
管理人员登录密码尽可能设定繁杂，公布文章内容能够新创建频道栏目管理人员，而且只给与有关管理权限。
Mysql数据库查询连接，不应用root客户，独立创建新用户，并给与：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATETEMPORARYTABLES管理权限。
按时开展备份数据网址目录和数据库查询，并在后台管理开展文件校验、病毒扫描、系统异常恢复。
在dedecms的后台管理升级补丁下载,尽量升級为最新版。
查验是否/data/cache/t.php、/data/cache/x.php和/plus/index.php这种木马病毒文档,有得话则应该马上删除。
关键查询/plus/config_s.php此为dedecms里边的ddos攻击脚本制作。


常见问题
还可以安裝安全狗手机软件，可是有时实际 *** 作后台管理时很有可能会被阻拦
升级补丁下载，尽量升級为最新版。