第一、做网站时我们要下载最新版的织梦系统
无论是什么程序,最新版的都会是最好的,里面打了各种补丁漏洞,最新版的也修复了很多问题,文章排版、图片上传、插件等等。所以说我们在用织梦系统做网站时一等要下载最新版本,这样可以最大限度的降低风险。
第二、更改网站后台管理目录名
黑客要入侵一个网站,一般都是通过sql注入破解网站后台管理员账号密码,然后登录到后台,上传木马,获取webshell提权,直到完全控制整个网站。如果我们能修改管理员表的表名和网站后台的管理目录名,黑客们就无法破解网站的管理员账号,即便获取了管理员账号,也可能因为无法知道网站后台管理目录而无法登录以至于放弃。
对于管理员表名和后台管理目录的修改,应尽量不要出现admin或manager关键字,这样可以大大加大黑客的破解难度。需要注意的是,在数据库中修改管理员表名后要修改源码中相应的表名。织梦V5.7中一共有27处需要修改,大家可以通过搜索“#@__admin”进行替换,我就不一一指出了。
第三、删除不需要的功能和代码
安装完成了以后一定要记住把install这个文件夹删除,
如果你只是单纯的静态网站,没有会员注册什么的功能,也可以把member这个目录删除掉;
不需要专题的,建议删除 special 目录;
如果用不着后台的sqlSQL命令运行器的将dede/sys_sql_query.php 文件删除;
不需要tag功能请将根目录下的tag.php删除。
第四、做好数据库路径以及其它安全设置
1、修改data目录路径
在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:
把data目录移动到上级目录,直接剪切过去就行了,然后配置 include/common.inc.php中DEDEDATA文件:找到这16行:define('DEDEDATA', DEDEROOT.'/data');替换成:define('DEDEDATA',DEDEROOT.'/../../data');
2、更改数据库表的前缀通配符
这里说的前缀通配符不是指安装时输入的数据库表名的前缀,而是指系统源码中的“#@_”字符串。
我曾经在自己一个被黑的网站中看到很多来路不明的文件中写了很多直接操作数据库的代码,这其中对表的操作就都包含了“#@_”字符串,如果我们修改了源码中的“#@_”字符串,那么这些来路不明的文件就都不起作用了。
3、修数数据库初连接配置文件
在织梦的data/common.inc.php文件中,记录着数据库连接信息,而这些信息都是明文的,很不安全。我们可以用两种方法来让它变得安全。
第五、妥善保存FTP账号,经常关注网站代码变化情况。
1、空间的FTP密码妥善保存。并且密码一定要复杂,定期修改ftp密码等等。如果自己的服务器就要靠自己了,一定要做好服务器安全维护。
2、定期查看、可疑文件的修改时间 。
3、查看站点系统日志,及时发现网站异常情况。
鲁公网安备 37021402001407号