Comment optimiser les enjeux de sécurité de DedeCms ?
De nombreux utilisateurs novices seront inévitablement confrontés au phénomène d'empoisonnement par des logiciels malveillants lors de l'utilisation du programme DreamWeaver CMS, nous devons donc effectuer à l'avance des sauvegardes préventives pour la sécurité du site Web et du serveur.
Étude recommandée : DreamWeaver cms
DreamWeaver, en tant que plus grand programme CMS gratuit open source en Chine, fait sans aucun doute l'objet de nombreuses études HACK dans un Internet intrinsèquement dangereux. , il est plus facile de tomber dans le piège. Les responsables du DEDE ont arrêté de mettre à niveau le système depuis longtemps. La sécurité ne concerne pas seulement le programme lui-même, mais nous oblige également à effectuer des sauvegardes quotidiennes et des précautions de sécurité du serveur ;
D'accord, sans plus tarder, voici quelques solutions couramment utilisées :
Étape 1 : Après avoir installé DreamWeaver CMS, n'oubliez pas de supprimer le dossier d'installation.
Étape 2 : Lorsque vous vous connectez en arrière-plan, vous devez activer la fonction de code de vérification (ou écrire vous-même un mécanisme de sécurité), supprimer l'administrateur par défaut et le remplacer par un compte dédié plus complexe. Le mot de passe de l'administrateur doit être certain. Il doit être long, au moins 8 caractères, et comporter un mélange de lettres et de chiffres.
La troisième étape : changez le nom du répertoire par défaut dede pour la gestion en arrière-plan dedecms, et remplacez-le par quelque chose de difficile à deviner et irrégulier (changez-le de temps en temps).
Étape 4 : Fermez (ou éliminez/supprimez) toutes les fonctions inutilisées, telles que les membres, les commentaires, etc. Si cela n'est pas nécessaire, fermez-les toutes en arrière-plan.
La fonction membre est désactivée : Backstage--Système--Paramètres système de base--Paramètres membres--S'il faut activer la fonction d'adhésion (Oui)
Le code de vérification des membres est activé : Backstage --Système--Paramètres de base du système--Paramètres d'interaction--Utiliser ou non le code de vérification pour les soumissions des membres (Oui)
Le code de vérification des membres est activé : Backstage--Système--Paramètres système de base--Interaction paramètres - S'il faut interdire tous les commentaires (Oui)
Étape 5 : (1) Voici les répertoires/fonctions qui peuvent être supprimés (si vous ne les utilisez pas) :
Membre fonction d'adhésion [Annuaire des membres, non requis pour les sites d'entreprise généraux]
fonction spéciale spéciale [fonction spéciale]
balises tags.php
un dossier
(2) Répertoire de gestion Les fichiers suivants peuvent être supprimés :
Ces fichiers du répertoire de gestion sont des gestionnaires de fichiers en arrière-plan, qui sont des fonctions redondantes et affectent la plupart la sécurité. De nombreux HACK sont montés via celui-ci
<.>dede/file_manage_control.php [Mail Send】
dede/file_manage_main.php 【Envoyer par email】
dede/file_manage_view.php 【Envoyer par email】
dede /media_add.php 【Fichier de contrôle vidéo】
dede/media_edit.php [Fichier de contrôle vidéo]
dede/media_main.php [Fichier de contrôle vidéo]
dede/spec_add .php, spec_edit.php [gestion des sujets]
Une série de fichiers commençant par dede/file_xx.php et tpl.php [Gestionnaire de fichiers, grand risque de sécurité]
(3)plus le Voici les fichiers qui peuvent être supprimés :
Supprimer : dossier plus/livre d'or [Tableau de messages, nous installerons un plug-in de livre d'or plus adapté plus tard] ;
Supprimer : dossier plus/task et task.php [Fichier de contrôle des tâches planifiées]
Supprimer : plus/ad_js.php [Publicité]
Supprimer : plus/bookfeedback.php et bookfeedback_js.php [Révision de livres et révision des fichiers d'appel, il y a des vulnérabilités d'injection, dangereuses]
Supprimer : plus/bshare.php【Partager avec le plug-in】
Supprimer : plus/car.php, posttocar.php et carbuyaction.php【Shopping Panier】
Supprimer : plus/comments_frame.php [Appel des commentaires, il y a une vulnérabilité de sécurité]
Supprimer : plus/digg_ajax.php et digg_frame.php [Downvote]
Supprimer : plus/download.php et disdls.php [Téléchargements et délais Statistiques】
Supprimer : plus/erraddsave.php【Correction】
Supprimer : plus/feedback.php, feedback_ajax. php, feedback_js.php【Commentaires】
Supprimer :plus/guestbook.php【Laisser un message】
Supprimer : plus/stow.php【Collection de contenu】
Supprimer : plus/vote.php【Vote】
Plus : Supprimez le fichier dede/sys_sql_query.php si vous n'avez pas besoin du lanceur de commandes SQL.
Étape 6 : Faites plus attention aux correctifs de sécurité officiellement publiés par dedecms et appliquez-les à temps.
Étape 7 : Téléchargez la fonction de publication (soft__xxx_xxx.php sous le répertoire de gestion). Vous pouvez la supprimer si vous ne l'utilisez pas. C'est également plus facile de télécharger des poneys.
Étape. 8 : Vous pouvez télécharger la troisième étape des plug-ins de protection tiers, tels que : "Dreamweaver CMS Security Pack" produit par 360, "DedeCMS Stubborn Trojan Backdoor Killer" produit par Baidu's Security Alliance
Étape 9 ; : (Facultatif) Le moyen le plus sûr : publiez le HTML localement, puis téléchargez-le sur l'espace. Il ne contient aucun fichier de contenu dynamique et est en théorie le plus sûr, mais sa maintenance est relativement fastidieuse.
Supplément : Vous devez toujours vérifier fréquemment votre site Web. Être lié à un lien noir est une affaire triviale, mais être lié à un cheval de Troie ou supprimer un programme est très misérable. Si vous n'avez pas de chance, votre classement. va également baisser. Pensez donc à toujours sauvegarder vos données ! ! !
Lecture approfondie : Illustration des étapes de sauvegarde des données sur le site Web de Dreamweaver
Jusqu'à présent, les fichiers de script malveillants que nous avons découverts incluent
plus/90sec.php
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php
Copier après la connexion
La plupart des scripts téléchargés sont concentrés dans les trois répertoires plus, data et data/cache. Veuillez vérifier attentivement s'il y a des fichiers récemment téléchargés dans les trois répertoires. Quant au serveur, s'il s'agit d'un WIN. serveur de série, il peut être installé en toute sécurité. Chien et autres outils de protection associés
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
