私が Web 開発を始めて以来、著者は他の人の Web サイトのセキュリティ アップグレードを頻繁に任されてきました。これらのタスクのほとんどは、攻撃のため、この問題やその他の問題が発生したためです。以下の著者は、DreamWeaver CMS を使用して構築された Web サイトに対して、いくつかのシンプルで効果的なセキュリティ対策を推奨しています。
1. データベーステーブルのプレフィックスワイルドカードを変更します
ここで説明されているプレフィックス ワイルドカードは、インストール中に入力されたデータベース テーブル名のプレフィックスを指すのではなく、システム ソース コード内の「#@_」文字列を指します。
ハッキングされた Web サイト上の多数の不明なファイルにデータベースを直接操作するためのコードが大量に記述されているのを見たことがあります。その中には、If を変更すると、テーブル上の操作にはすべて「#@_」という文字列が含まれていました。ソース コード内の @_" 文字列が削除されると、これらの出所不明のファイルは動作しなくなります。
2. バックグラウンド管理ディレクトリ名を変更します
Web サイトに侵入する場合、ハッカーは通常、SQL インジェクションを通じて Web サイト管理者のアカウントとパスワードを解読し、バックエンドにログインし、トロイの木馬をアップロードし、Web シェルを取得し、Web サイト全体を完全に制御するまで権限を昇格させます。管理者テーブルの名前と Web サイトのバックエンド管理ディレクトリの名前を変更できれば、ハッカーは管理者アカウントを取得したとしても、Web サイトの管理者アカウントをクラッキングすることはできなくなります。 Web サイトのバックエンド管理ディレクトリを知ることができないためです。
管理者テーブル名とバックグラウンド管理ディレクトリを変更する場合は、admin または manager キーワードを使用しないようにしてください。これにより、ハッカーによる解読の難易度が大幅に高まる可能性があります。データベース内の管理者テーブル名を変更した後は、ソース コード内の対応するテーブル名も変更する必要があることに注意してください。 DreamWeaver V5.7 では、合計 27 個の変更が必要です。「dede_admin」で検索すると置き換えることができるので、一つずつ説明しません。
3. データベースの初期接続設定ファイルを変更します
Dream Weaver の data/common.inc.php ファイルには、データベース接続情報が記録されていますが、この情報は平文であり、非常に安全ではありません。比較的安全にするための 2 つの方法を紹介します。
(1) 複数の変数 (数十、場合によっては数百) を追加します。これらの変数のうち実際に効果があるのは 6 つだけで、残りはハッカーの判断を混乱させるために使用されます。
(2) データを暗号化しますが、これにはウェブマスターが特定のプログラミング スキルを持っている必要があります。どの方法を使用する場合でも、データベース初期化クラスで対応する変更を行う必要がありますが、最初の方法ではいくつかの変数名を変更するだけで済み、比較的簡単です。
上記の 3 つの方法は、DreamWeaver CMS システムのセキュリティにおいて非常に重要な役割を果たすことができますが、多くの Web マスターの友人は Web サイトのセキュリティを向上させる方法を知りません。この記事が、Web サイトのセキュリティを実現するという夢を実現する多くの Web マスターの友人に役立つことを願っています。
その他注意すべき点は次のとおりです:
1. インストールが完了したら、ルートディレクトリのメンバー、スペシャル、インストールフォルダーを削除します
2. アップロード、画像、データ、テンプレットを読み取り可能、書き込み可能、および実行不可能に設定します
3. インクルード、プラス、バックグラウンド ファイル (デフォルトは dede) を読み取り可能、実行可能、ただし書き込み可能に設定しない
4. data/common.inc.php を読み取り専用に設定します
5. 背景の透かしをオフにする
6. 404 ページ設定
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
