`
seomine
  • 浏览: 43891 次
  • 性别: Icon_minigender_1
社区版块
存档分类

dedecms安全配置整理,用dede必看!

阅读更多

网上有很多CMS开源程序,发现很多朋友或做医院的都用到DEDECMS,之前我也使用过,不过后来被挂过几次马,就觉得DEDE也不什么好,不过做垃圾 站的话,排名效果还是不错的,至少对百度的收录和排名都比较友好。任何一款开源程序都存在或多或少的漏洞,只是没被别人发现而已。自己不能开发这么强大的 系统,只能拿现成的来改了。很多所谓的“黑客”都是用工具来扫描入侵,厉害点的人是不屑来黑我们的小网站的,所以我们一般做好安全防护就可以了。以下是我 收集整理的内容:

第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。
第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。
第三、装好程序后务必删除install目录
第四、将dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plus\guestbook留言板

以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php

再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码http://bbs.dedecms.com/read.php?tid=15538,我发在文章后面,官网的要会员才能看.
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.

N、欢迎大家继续讨论,把大家知道安全的方法都写上来.

 

 

DedeCms 万能安全防护代码

为了让大家的CMS更安全,有需要的手工在config_base.php里加上
打开
config_base.php
找到
复制代码
//禁止用户提交某些特殊变量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
  if(is_array($$ckv)){
    foreach($$ckv AS $key => $value)
      if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
  }
}

改为下面代码
复制代码
//把get、post、cookie里的<? 替换成 <?
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
  if(is_array($$ckv)){
    foreach($$ckv AS $key => $value)
      if(!empty($value)){
        ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
        ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
      }
      if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
  }
}
//检测上传的文件中是否有PHP代码,有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
  ${$name} = $value['tmp_name'];
  $fp = @fopen(${$name},'r');
  $fstr = @fread($fp,filesize(${$name}));
  @fclose($fp);
  if($fstr!='' && ereg("<\?",$fstr)){
      echo "你上传的文件中含有危险内容,程序终止处理!";
      exit();
  }
}
}


 

分享到:
评论

相关推荐

    dede数据库结构DEDECMS数据库配置.doc

    DEDECMS数据库结构和配置 DEDECMS是一个基于PHP和MySQL的内容管理系统(CMS),其数据库结构和配置是系统的核心组件。本文档将详细介绍DEDECMS数据库结构和配置文件的内容。 数据库配置文件 DEDECMS数据库配置...

    dede常用标签总结整理!

    ### dede常用标签总结整理 本文档旨在对dedecms(织梦内容管理系统)中的常用标签进行详尽的总结与解析。这些标签是构建、管理网站的重要工具,可以帮助开发者及内容管理者更高效地管理和更新网站内容。下面我们将...

    dede批量Getshell

    1. **DEDECMS安全问题**:DEDECMS作为一款流行的PHP CMS,其安全性备受关注,因为一旦存在漏洞,可能导致大量网站受到攻击。 2. **WebShell**:WebShell是攻击者在目标服务器上留下的一个命令执行接口,通常用于...

    dede_killer_v2_Dede_killerv2_killer_织梦安全_

    【标题】"dede_killer_v2_Dede_killerv2_killer_织梦安全_" 提供的信息表明,这是一个专门针对织梦(DedeCMS)系统的安全工具,名为"Dede_killer_v2",用于检测和修复该系统中的安全漏洞,特别是针对顽固的木马后门...

    wordpress仿dede模板

    【WordPress仿Dede模板】是一种将流行的WordPress内容管理系统与经典的DedeCMS设计元素相结合的网站模板。WordPress以其易用性和强大的可扩展性而闻名,而DedeCMS则以其灵活的模板系统和对SEO友好的特性受到青睐。...

    织梦dedecms批量导入excel表文章内容插件

    而使用批量导入Excel表插件,用户可以预先在Excel表格中整理好文章标题、作者、发布时间、内容、分类等信息,然后一次性导入到系统中,大大节省了时间。 首先,你需要准备一个Excel文件,按照插件指定的格式设置...

    dede后台登录界面

    3. "魔客吧.url" - 这看起来是一个网址书签,可能指向一个论坛或社区,如“魔客吧”,在那里用户可以交流DEDECMS的使用经验,寻求帮助,或者获取最新的插件和模板。 4. "dede" - 文件名仅包含“dede”,可能是文件夹...

    dede网站模板

    DEDE网站模板是一种基于织梦内容管理系统(DEDE CMS)的专业设计模板,广泛应用于企业建站。DEDE CMS是一款开源的PHP+MySQL内容管理框架,以其功能强大、易用性好、灵活性高而受到众多企业和个人用户的青睐。下面将...

    dede使用教程(初学者)

    DEDE,全称为DedeCMS,是一款基于PHP和MySQL技术构建的开源内容管理系统,尤其适合企业网站、新闻门户以及个人博客等网站的建设和管理。本教程面向初学者,旨在帮助新用户快速掌握DEDE的基本操作和功能。 1. **安装...

    dede插件开发教程

    定期更新以修复可能的安全漏洞,保持与新版本dede CMS的兼容性。 10. **文档编写** 为了帮助其他用户理解和使用你的插件,编写详细的文档是必要的。说明安装步骤、使用方法、配置选项以及常见问题的解决方案。 ...

    DeDe反编译工具 DEDE 3.50.4的修改版

    【标题】"DeDe反编译工具 DEDE 3.50.4的修改版"是针对Delphi和BCB(Borland C++ Builder)应用程序的反编译工具,主要用于帮助开发者分析和理解Delphi或...同时,提供的示例程序和配置文件为学习和使用DEDE提供了便利。

    dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描

    dedecms批量漏洞扫描,大家可以自己试试效果

    dede sql使用技巧

    ### dede SQL 使用技巧 #### 一、简介 在Dreamweaver内容管理系统(简称DedeCMS)中,`dede:sql`标签被广泛应用于从模板中执行自定义的SQL查询,并获取其返回的结果。这一功能极大地提高了系统的灵活性与可扩展性...

    dede动态首页代码

    在本文中,我们将深入探讨"dede动态首页代码",了解其工作原理以及如何在实际项目中进行部署和配置。 dede,通常指的是DEDECMS(织梦内容管理系统),这是一个广泛使用的开源PHP建站系统。DEDECMS以其灵活的模板...

    dede5.6免登陆发布模块(含接口)

    dede5.6免登陆发布模块(含接口)utf8与gbk编码

    DEDE超级标签 绿色无广告版

    DEDE超级标签是一款专为网站内容管理系统DEDECMS(织梦内容管理系统)设计的扩展工具,它以绿色无广告的形式提供给用户,旨在提升网站管理效率和用户体验。DEDE是PHP开发的一款开源CMS,广泛应用于各类网站的建设和...

    dede使用说明

    【dede使用说明】 在深入探讨dede使用说明之前,我们首先需要理解“dede”是什么。"Dede"通常指的是织梦CMS(Dedecms),这是一个基于PHP和MySQL的开源内容管理系统,广泛用于搭建网站。织梦CMS以其易用性、灵活性...

    dede官方手册

    《dede官方手册》是针对dedeCMS(织梦内容管理系统)的一份全面参考资料,它涵盖了从安装配置到日常运营维护的各个环节。dedeCMS是一款广泛使用的开源PHP内容管理系统,适用于构建企业网站、新闻资讯站等多种类型的...

    dede源码整站

    9. **安全性**:尽管任何CMS都有潜在的安全风险,DEDECMS团队会定期发布更新以修复已知漏洞,用户也需要及时更新以保障网站安全。 10. **社区支持**:DEDECMS拥有庞大的用户社区,用户可以在论坛上寻求帮助,分享...

    dede会员系统

    "dede会员系统"是一个专为网站设计的会员管理系统,其核心功能是通过在后台添加和管理"dede"数据库中的字段,实现对站内用户的高效管理。这个系统旨在为网站提供一套完整的用户注册、登录、权限分配以及数据统计等...

Global site tag (gtag.js) - Google Analytics