关于dedecms的安全,安全加固设置要做好
扫描二维码
随时随地手机看文章
(文章来源:陆柏熺)
记得是2013左右周鸿祎在一次什么大会上说了这样一句话,大概意思就是:dedecms是对站长不负责的程序,程序漏洞官方没有及时修复导致很多的网站被挂马。正因为如此,关于dede安全问题就越传越离奇,一提到织梦程序,大家首先想到的就是这个网站系统不安全,而实际上并没有那么不安全!
我遇到过的dedecms被挂马的几乎都存在同样的安全设置问题,都是使用windows server 2003或2008系统,虚拟主机未禁用相关权限,都是使用iis作为web服务器,没有及时更新官方提供的安全补丁。被挂马的几乎都是中了一句话木马,修改首页跳转到其他的网站上,被流量劫持;还有被人做站中站,上传很多纯静态的网页,解决方法如下。
使用windows服务器几乎都难逃dede被挂马的命运,尤其是老旧的2003和2008版本,如果还在使用这种低版本服务的建议升级,至少也要升级到windows server 2016版本以上,我的一个网站站使用的是win2008,重做了好几次系统依然被人修改首页跳转到别的网站。实操经验是:升级服务器系统到win2016以上,弃用默认的web服务器iis,使用nginx作为web服务器,设置好nginx相关的相关的安全。
win服务器相对于Linux来说安全性真的较差一些,而且大部分被人攻击都是首先服务器有漏洞,我的win服务器居然被人添加了一个和administrator一样权限的账户,更换了nginx并把iis卸载后没有出现被挂马的问题了。
web服务器环境尽量自己搭建,并安装服务器安全软件,目前免费的有安全狗、主机大师等,设置网站相关的读写权限,禁用没有用的端口号。另外不建议直接使用一些PHP集成环境来搭建网站,比如大家熟悉的PHPnow、宝塔、护卫神及西部数码建站助手等,这些集成环境本身的安全性较弱,如果一定要使用注意及时更新。建议web环境手动搭建配置,一个PHP环境的搭建网上有很多教程,一次学会终生受益,别老想着用现成的,那些被挂马的网站大多都是使用了集成环境,同时建议经常安装win提示的各种更新有利于提高服务器的安全。
网站程序方面的漏洞问题是不可避免的,只有设置好也没有什么问题,首先后台提示的安全设置一定要改。比如上图中的这个提示,按照要求去设置一下,我之前就看到一个人他的这里也不舍得去改一下,结果被挂马了你能怪得了谁啊,这种显而易见的问题你不做安全处理这不就相当于有锁你偏不锁门吗,修改网站后台登录地址也属于必须。
修改dedecms默认的数据库表前缀,默认是dede_这样的,在新安装网站程序是不安装测试数据,并且修改数据表dede前缀为其他的,这样可以防止别人直接就知道你的数据表前缀是什么。如果已经使用了一段时间的网站则可以通过备份数据库,修改备份数据里面的表前缀,修改datacommon.inc.php文件 $cfg_dbprefix = ‘dede_’; 将dede_修改为新的表前缀,然后恢复备份的方法来修改整站数据表默认的dede。
对于没有会员登录注册的网站可以直接件member文件夹删除,经常关注最新的漏洞信息并加以修复,以上这些就是关于dedecms安全加固的方法。
织梦网站系统并没有那么的不安全,相对于其他一些不太知名的网站系统来说安全性还是很高的,主要的原因是使用的人太多,会有人专门针对织梦系统研究相关的漏洞,从而做一些不光彩的事情,做好上面的工作基本上就没有问题了。世上没有完美系统,只是相对安全,如果这样还是不行,那估计是你的网站价值太搭了,有人盯上你了,对于技术一般的小白黑客还能扛得住,如果是大牛那你最好想想是不是哪里得罪过人家吧。