浅谈DedeCMS安全设置 做目录执行php脚本限制方法

dedecms是一个非常好的CMS程序,现在最新版本是5.7。经过很多版本的升级和功能添加,dedecms仍然存在很多问题。这里不是说DEDECMS不好,相对来说dede还是很好的,简单容易用,造福了许许多多中小站长。

很久没更新游子网络,今天想浅谈DEDECMS安全设置。用dedecms的朋友一定有遇到过网站被挂马的事,不是每个页面中被添加很多链接就是js中被加入恶意转向。

最新整理跟新

Dedecms文章内容管理系统安全漏洞!如何有效防止DEDE织梦系统被挂木马安全设置
第一、安装Dede的时候数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。
第二、后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
第三、装好程序后务必删除install目录!!!
第四、将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录/功能(如果你用不到的话):
member会员功能
special专题功能
company企业模块
plus\guestbook留言板

迄今为止,我们发现的恶意脚本文件有
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php等等
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。


游子浅谈DEDECMS安全设置:

1、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险。
2、后台登录管理不要用admin为用户名 可以改成其他的。
3、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。
4、针对uploads、data、templets 三个目录做执行php脚本限制
5、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。
6、用最新版的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。
7、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。(游子推荐:删除member 会员文件夹 不用会员系统)


虚拟主机/空间配置目录执行php脚本限制方法: Apache环境和nginx环境的两种设置方法
对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置。
在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中

RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]

nginx环境规则内容如下:nginx执行php脚本限制
LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。

首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:

location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
deny all;
}

好了就这些吧,做了这些应该不会有什么问题基本够用!建议用dedecms的朋友花点时间去设置一下。

最后编辑于:2012/2/3作者: 游子

热爱一切美好的新事物,搞网站也被网站搞,剁手折腾。关注与学习Web相关技术与UI\UE\UED\UCD\Server相关知识,服务器运维、前端、后端、非专业程序猿、非高级前端后端攻城师!

6 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

arrow grin ! ? cool roll eek evil razz mrgreen smile oops lol mad twisted wink idea cry shock neutral sad ???

  1. 空气净化器说道:
    3#

    我就是用DEDE的一个站最近被DDOS的不行啊,空间商直接不让用了,直接把款退给我了,之前我就是看了你这文章,已按你这文章中一样的设置了,还是防不住啊。搞得我都不知如何是好。

    • 游子说道:

      可以试试游子主机。可以解决你这类问题

  2. Hello Beautiful说道:
    2#

    一朝被蛇咬,十年怕井绳,我是不打算再用DEDE了。

    • 游子说道:

      呵呵,是的。用WP吧WP什么都能做。你用的是DirectSpace VPS吧

  3. 励志说道:
    1#

    我本来打算用DEDE的,考虑到用的不熟练,最终还是选了WP,谢谢游子的分享,也许以后用得着。

    • 游子说道:

      dedecms也不错的,但用习惯了WordPress还是用WordPress的好,WP相对来说SEO方面要比dedecms要好一些。如果用dedecms做好上面这些设置一般不会有什么问题可以安心使用