泸州网络公司网站建设公司唐网互联

泸州网站建设,泸州网络公司唐网互联服务热线

织梦dede安全设置 dedecms V5.3 V5.5 V5.7 最安全防护指南

时间:2014-07-12 08:40 来源:泸州唐网 点击:
织梦dede安全设置 dedecms V5.3 V5.5 V5.7 最安全防护指南
泸州网站制作
首先:基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。泸州网页设计

规则内容如下:

 RewriteEngine on  RewriteCond % !^$   
 
 RewriteRule uploads/(.*).(php)$ – [F]   
 
 RewriteRule data/(.*).(php)$ – [F]   
 
 RewriteRule templets/(.*).(php)$ – [F]  
 
针对uploads,data,templets 三个目录做了执行php脚本限制;


然后,其他安全事项:

     第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。

  第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。

  第三、装好程序后务必删除install目录

  第四、将dedecms后台管理默认目录名dede改掉。

  第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。

  第六、以下一些是可以删除的目录:

  member会员功能

  special专题功能

  company企业模块

  plus\guestbook留言板

  以下是可以删除的文件:

  管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全

  file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php

  不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

  不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

  第七、多关注dedecms官方发布的安全补丁,及时打上补丁。

  第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.

  第九、DedeCms官网出的万能安全防护代码,有需要的手工在config_base.php里加上,打开config_base.php找到


复制代码
//禁止用户提交某些特殊变量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
  if(is_array($$ckv)){ 
    foreach($$ckv AS $key => $value) 
      if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
  }
}
复制代码

  改为下面代码

复制代码
//把get、post、cookie里的<? 替换成 <?
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
  if(is_array($$ckv)){ 
    foreach($$ckv AS $key => $value) 
      if(!empty($value)){
        ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
        ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
      }
      if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
  }
}
//检测上传的文件中是否有PHP代码,有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
  ${$name} = $value['tmp_name'];
  $fp = @fopen(${$name},'r');
  $fstr = @fread($fp,filesize(${$name}));
  @fclose($fp);
  if($fstr!='' && ereg("<\?",$fstr)){
      echo "你上传的文件中含有危险内容,程序终止处理!";
      exit();
  }
}
}
复制代码

  这样处理之后,安全上理论上可中做到一劳永逸,但缺点是使用此功能后,不能在线上传PHP文件,如果你的站点同时支持asp、aspx等,在此基础上修改一下上述代码即可!

  第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。



本网站友情链接:
网络公司 http://www.luzhot.com/
网站制作 http://www.263t.net/
网站建设 http://www.jzp123.com/
分享本文: