DedeCms, eines der am weitesten verbreiteten CMS in China, weist häufig Schwachstellen auf, die von Anzeigen und Pop-ups bis hin zum Verlust wertvoller Daten reichen. Gibt es also eine Möglichkeit, die Sicherheit von DedeCms zu verbessern?
Schauen wir uns zunächst die Gründe an, warum PHP-Programme häufig Lücken aufweisen. Tatsächlich wird dies durch das PHP-Programm selbst bestimmt.
PHP weist eine geringe Wiederverwendbarkeit auf, was zu einer komplexen Programmstruktur und überall redundantem Code führt, was nicht nur die Generierung von Schwachstellen erleichtert, sondern sich auch auf die Reparatur von Schwachstellen auswirkt.
PHP-Programme sind einfach zu reparieren Beginnen Sie mit und sind im Allgemeinen Open Source, sodass viele Menschen den Code direkt lesen und nach Schwachstellen suchen können. Auf diese Weise wird ein stetiger Strom von Schwachstellen entdeckt, repariert und entdeckt ...
Das derzeit beliebte PHP-System ist es gewohnt, Dateien als Cache zu verwenden, was das Öffnen der Schreibberechtigung der Datei erfordert, was zweifellos zur Schwäche des PHP-Systems wird.
Zusätzlich zu den selten auftretenden „Injection“-Angriffen erfolgen die meisten aktuellen Angriffe auf PHP-Systeme über eine bestimmte Schwachstelle im System, bei der ein Trojaner in eine beschreibbare Datei eingefügt wird, um die zu erhalten Hülse.
Website-Sicherheit war schon immer das Zusammenwirken von Serverkonfiguration, Dateiberechtigungskontrolle und Website-Programm. Heute werden wir uns hauptsächlich mit der Verbesserung des DedeCms-Website-Programms befassen, um die Sicherheit zu verbessern. „Auf ausführbare Dateien darf nicht zugegriffen werden, und auf beschreibbare Dateien darf nicht zugegriffen werden.“ .
Nehmen Sie DedeCMS als Beispiel, wir können es auf folgende Weise schützen.
1. Benennen Sie das Datenverzeichnis unter dem Stammverzeichnis um oder verschieben Sie es aus dem Website-Verzeichnis
Das Datenverzeichnis ist der Ort, an dem die meisten Bösewichte und Übeltäter leben Das System muss häufig Daten in dieses Verzeichnis schreiben, und auf jede Datei in diesem Verzeichnis kann über die URL zugegriffen werden. Wenn Sie also verhindern möchten, dass der Browser auf die darin enthaltenen Dateien zugreift, müssen Sie dieses Verzeichnis umbenennen oder nach draußen verschieben Das Verzeichnis der Website. Selbst wenn jemand über eine Sicherheitslücke einen Trojaner in eine Datei schreibt, kann er den Dateipfad, in dem sich der Trojaner befindet, nicht finden und den Angriff nicht fortsetzen. Da das DedeCMS-Programm unzumutbar ist, ist die Umbenennung des Datenverzeichnisses relativ umfangreich. Die spezifischen Methoden sind wie folgt:
a Migrieren Sie den öffentlichen Inhalt in das Pub-Verzeichnis (oder andere benutzerdefinierte Verzeichnisse), z B. RSS, Sitemap, JS, Enum usw. Dieser Schritt erfordert das Verschieben der Ordner und das Ändern der Generierungspfade dieser Dateien
b Ändern Sie das referenzierte Programmverzeichnis
Suchen und ersetzen Sie „DEDEDATA. „/data/“ durch „DEDEDATA .“/“, ersetzen Sie etwa fünfzig oder sechzig Stellen;
Suchen und ersetzen Sie „DEDEDATA.'/data/“ durch „DEDEDATA.'/“, ersetzen Sie etwa fünfzig oder sechzig Stellen;
Suchen Sie nach „/data/“. Abhängig von der jeweiligen Situation ähnelt der geänderte Pfad etwa „$DEDEDATA.“/“ (beachten Sie, dass das Include-Verzeichnis und das Hintergrundverwaltungsverzeichnis beide über Datenordner verfügen und dies nicht müssen geändert werden);
c. Ändern Sie den Namen des Datenordners und den Wert von „DEDEDATA“ in der Datei include/common.inc.php und ändern Sie dann das Vorlagen-Cache-Verzeichnis in den Hintergrundsystemeinstellungen. Parametereinstellungen“, um die Änderung abzuschließen. Sie können diesen Schritt auch ausführen, um den Namen des Datenordners in Zukunft zu ändern. .
2. Benennen Sie das Verwaltungsverzeichnis „dede“ um und verstärken Sie es
Wenn der Hintergrund ausgeblendet ist, kann sich eine andere Person nicht anmelden, auch wenn sie an Ihr Administratorkonto und Ihr Passwort gelangt.
In /dede/config.php finden Sie die Folgende Zeile:
Das Folgende ist der zitierte Inhalt:
//检验用户登录状态 $cuserLogin = new userLogin(); if($cuserLogin->getUserID()==-1) { header("location:login.php?gotopage=".urlencode($dedeNowurl)); }
Empfohlenes Lernen: dedecms use Tutorial
Das obige ist der detaillierte Inhalt vonWie kann eine mit DreamWeaver erstellte Website verhindern, dass Malware gehackt wird?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!