Wie können die Sicherheitsprobleme von DedeCms optimiert werden?
Viele unerfahrene Benutzer werden bei der Verwendung des DreamWeaver CMS-Programms unweigerlich auf das Phänomen der Malware-Vergiftung stoßen, daher müssen wir im Voraus vorbeugende Backups für die Sicherheit der Website und des Servers durchführen.
Empfohlene Studie: DreamWeaver cms
DreamWeaver ist als größtes Open-Source-Free-CMS-Programm in China zweifellos Gegenstand vieler HACK-Studien im von Natur aus unsicheren Internet , Umgebung, es ist einfacher, in die Falle zu tappen. Bei der Sicherheit geht es nicht nur um das Programm selbst, sondern auch um tägliche Backups und Server-Sicherheitsvorkehrungen
Okay, ohne weitere Umschweife, hier sind einige häufig verwendete Lösungen:
Schritt 1: Denken Sie nach der Installation von DreamWeaver CMS daran, den Installationsordner zu löschen.
Schritt 2: Wenn Sie sich im Hintergrund anmelden, müssen Sie die Bestätigungscode-Funktion aktivieren (oder selbst einen Sicherheitsmechanismus schreiben), den Standardadministrator admin löschen und ihn in ein dediziertes, komplexeres Konto ändern Das Administratorkennwort muss sicher sein. Es sollte lang sein, mindestens 8 Zeichen lang sein und aus einer Mischung aus Buchstaben und Zahlen bestehen.
Der dritte Schritt: Ändern Sie den Standardverzeichnisnamen dede für die dedecms-Hintergrundverwaltung und ändern Sie ihn in einen schwer zu erratenden und unregelmäßigen Namen (ändern Sie ihn von Zeit zu Zeit).
Schritt 4: Schließen (oder entfernen/löschen) Sie alle nicht verwendeten Funktionen wie Mitglieder, Kommentare usw. Wenn nicht erforderlich, schließen Sie sie alle im Hintergrund.
Mitgliederfunktion ist deaktiviert: Backstage – System – Grundlegende Systemparameter – Mitgliedereinstellungen – Ob die Mitgliedschaftsfunktion aktiviert werden soll (Ja)
Mitgliedsbestätigungscode ist aktiviert: Backstage --System--System Grundparameter--Interaktionseinstellungen--Ob der Bestätigungscode für Mitgliederbeiträge verwendet werden soll (Ja)
Mitgliedsbestätigungscode ist aktiviert: Backstage--System--Grundlegende Systemparameter--Interaktion Einstellungen – Ob alle Kommentare verboten werden sollen (Ja)
Schritt 5: (1) Die folgenden Verzeichnisse/Funktionen können gelöscht werden (wenn Sie sie nicht verwenden):
Mitglied Mitgliedschaftsfunktion [Mitgliederverzeichnis, nicht erforderlich für allgemeine Unternehmensseiten]
spezielle Sonderfunktion [Sonderfunktion]
tags.php markiert
einen Ordner
(2) Verwaltungsverzeichnis Die folgenden Dateien können gelöscht werden:
Diese Dateien im Verwaltungsverzeichnis sind Hintergrunddateimanager, die redundante Funktionen darstellen und die Sicherheit am meisten beeinträchtigen
dede/file_manage_control.php [Mail Send]
dede/file_manage_main.php 【Per E-Mail senden】
dede/file_manage_view.php 【Per E-Mail senden】
dede /media_add.php 【Video-Steuerdatei】
dede/media_edit.php [Video-Steuerdatei]
dede/media_main.php [Video-Steuerdatei]
dede/spec_add .php, spec_edit.php [Themenverwaltung]
Eine Reihe von Dateien, beginnend mit dede/file_xx.php und tpl.php [Dateimanager, großes Sicherheitsrisiko]
(3)plus die Folgende Dateien können gelöscht werden:
Löschen: Ordner „plus/guestbook“ [Forum, wir werden später ein passenderes Gästebuch-Plug-in installieren];
Löschen: Ordner „plus/task“ und task.php [Geplante Aufgabensteuerungsdatei]
Löschen: plus/ad_js.php [Werbung]
Löschen: plus/bookfeedback.php und bookfeedback_js.php [Buchbesprechungs- und Rezensionsaufrufdateien, Es gibt Injektionsschwachstellen, unsicher]
Löschen: plus/bshare.php【Share to plug-in】
Löschen: plus/car.php, posttocar.php und carbuyaction.php【Shopping Warenkorb】
Löschen: plus/comments_frame.php [Aufruf von Kommentaren, es besteht eine Sicherheitslücke]
Löschen: plus/digg_ajax.php und digg_frame.php [Downvote]
Löschen: plus/download.php und disdls.php [Downloads und Zeiten Statistiken]
Löschen: plus/erraddsave.php【Korrektur】
Löschen: plus/feedback.php, feedback_ajax. php, feedback_js.php【Kommentare】
Löschen:plus/guestbook.php【Nachricht hinterlassen】
Löschen: plus/stow.php【Inhaltssammlung】
Löschen : plus/vote.php【Vote】
Mehr: Löschen Sie die Datei dede/sys_sql_query.php, wenn Sie den SQL-Befehls-Runner nicht benötigen.
Schritt 6: Achten Sie mehr auf die offiziell von dedecms veröffentlichten Sicherheitspatches und wenden Sie diese rechtzeitig an.
Schritt 7: Laden Sie die Veröffentlichungsfunktion herunter (soft__xxx_xxx.php im Verwaltungsverzeichnis. Sie können sie löschen, wenn Sie sie nicht verwenden.
Schritt 8: Sie können den dritten Schritt herunterladen. Schutz-Plug-ins von Drittanbietern, wie zum Beispiel: „Dreamweaver CMS Security Pack“ von 360, „DedeCMS Stubborn Trojan Backdoor Killer“ von Baidu's Security Alliance
Schritt 9 : (Optional) Der sicherste Weg: Veröffentlichen Sie HTML lokal und laden Sie es dann in den Bereich hoch. Es enthält keine dynamischen Inhaltsdateien und ist theoretisch das sicherste, die Wartung ist jedoch relativ mühsam.
Zusätzlich: Sie müssen Ihre Website immer noch regelmäßig überprüfen, aber wenn Sie Pech haben, ist es eine triviale Angelegenheit, mit einem Trojanischen Pferd verknüpft zu werden wird auch fallen. Denken Sie also daran, Ihre Daten immer zu sichern! ! !
Erweiterte Lektüre: Veranschaulichung der Datensicherungsschritte auf der Dreamweaver-Website
Zu den bisher von uns entdeckten schädlichen Skriptdateien gehören
plus/90sec.php
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php
Nach dem Login kopieren
Die meisten hochgeladenen Skripte sind in den drei Verzeichnissen plus, data und data/cache konzentriert. Bitte überprüfen Sie sorgfältig, ob sich in den drei Verzeichnissen kürzlich hochgeladene Dateien befinden, wenn es sich um eine WIN-Serie handelt Server können Sie es sicher installieren
Das obige ist der detaillierte Inhalt vonSo optimieren Sie die Sicherheitsprobleme von DedeCms. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
