DedeCms のセキュリティ問題を最適化する方法

DedeCms のセキュリティ問題を最適化するにはどうすればよいですか?

DreamWeaver CMS プログラムを使用する場合、多くの初心者ユーザーは必ず馬中毒現象に遭遇するため、Web サイトとサーバーのセキュリティを確保するために事前に予防バックアップを実行する必要があります。

推奨調査: 梦Weavercms

中国最大のオープンソースの無料 CMS プログラムである Dreamweaver は、間違いなく多くの HACK 研究の対象となっています。この環境では、だまされやすくなります。DEDE 当局は、かなり前にシステムのアップグレードを停止しました。セキュリティはプログラム自体だけでなく、毎日のバックアップやサーバーのセキュリティ予防策も必要です。

さて、これ以上の苦労はせずに、ここに一般的に使用される解決策をいくつか示します。

ステップ 1: Dreamweaver CMS をインストールした後、インストール フォルダーを忘れずに削除してください。

2 番目のステップ: バックグラウンドでログインするときは、確認コード機能を有効にし (またはセキュリティ メカニズムを自分で作成し)、デフォルトの管理者 admin を削除し、専用のより複雑なアカウントに変更する必要があります。管理者パスワードは確実なものである必要があり、少なくとも 8 文字の長さで、文字と数字が混在している必要があります。

3 番目のステップ: dedecms バックグラウンド管理のデフォルトのディレクトリ名 dede を変更し、推測が困難で不規則なものに変更します (時々変更します)。

ステップ 4: メンバー、コメントなど、未使用の機能をすべてオフ (または削除/削除) します。必要がない場合は、バックグラウンドですべてオフにします。

会員機能オフ：Backstage--システム--基本システムパラメータ--会員設定--会員機能有効化(はい)

会員認証コードオン：Backstage --システム -- システムの基本パラメータ -- インタラクション設定 -- メンバーの送信に検証コードを使用するかどうか (はい)

メンバー検証コードがオンになっています: バックエンド -- システム -- 基本システム パラメータ -- インタラクション設定 -- すべてのコメントを禁止するかどうか (はい)

ステップ 5: (1) 以下は削除できるディレクトリ/関数です (使用しない場合):

メンバーメンバーシップ機能 [メンバーディレクトリ、一般のエンタープライズサイトには不要]

special スペシャルトピック機能 [スペシャルトピック機能]

tags.php タグ

a フォルダー

(2) 管理ディレクトリ 削除できるファイルは以下のとおりです:

管理ディレクトリにあるこれらのファイルはバックグラウンドファイルマネージャーであり、冗長な機能でセキュリティに最も影響を与えるものであり、多くのHACKがマウントされています

dede/file_manage_control.php 【メール送信】

dede/file_manage_main.php 【メール送信】

dede/file_manage_view.php 【メール送信】

# #dede/media_add.php 【ビデオ制御ファイル】

dede/media_edit.php [ビデオ制御ファイル]

dede/media_main.php [ビデオ制御ファイル]

dede /spec_add.php、spec_edit.php [トピック管理]

dede/file_xx.php 一連のファイルと tpl.php [ファイル マネージャー、大きなセキュリティ リスク]

(3)さらに次のものファイルは削除できます:

削除: plus/guestbook フォルダ [掲示板、後でより適切なゲストブック プラグインをインストールします];

削除: plus/task フォルダと task.php [スケジュールタスク制御ファイル]

削除: plus/ad_js.php [広告]

削除: plus/bookfeedback.php および bookフィードバック_js.php [ブックレビューとレビュー呼び出しファイル、インジェクションがあります脆弱性、危険]

削除: plus/bshare.php [プラグインへの共有]

削除: plus/car.php、posttocar.php、carbuyaction.php [ショッピング カート]

削除: plus/comments_frame.php [コメントを呼び出す、セキュリティ上の脆弱性があります]

削除: plus/digg_ajax.php および digg_frame.php [反対票]

削除: plus/download.php および disdls.php [ダウンロードと回数の統計]

削除: plus/erraddsave.php【エラー修正】

削除: plus/フィードバック.php、フィードバック_ajax.php、 feedly_js.php【コメント】

削除: plus/guestbook.php [メッセージ]

削除: plus/stow.php [コンテンツコレクション]

削除: plus/vote .php [投票]

詳細: SQL コマンド ランナーが必要ない場合は、dede/sys_sql_query.php ファイルを削除します。

ステップ 6: dedecms によって正式にリリースされたセキュリティ パッチにさらに注意を払い、適時に適用します。

ステップ 7: 公開機能 (管理ディレクトリのsoft__xxx_xxx.php) をダウンロードします。使用しない場合は削除しても構いません。Xiaoma をアップロードするのも簡単です。

ステップ8: 360 が作成した「Dreamweaver CMS Security Pack」、Baidu の Security Alliance が作成した「DedeCMS Stubborn Trojan Backdoor Killer」など、最初のサードパーティ保護プラグインをダウンロードできます。

ステップ 9: (オプション) 最も安全な方法: HTML をローカルに公開してからスペースにアップロードします。動的コンテンツ ファイルは含まれず、理論的には最も安全ですが、メンテナンスは比較的面倒です。

補足: ウェブサイトは頻繁にチェックする必要があります。ブラックリンクにリンクされるのは簡単ですが、トロイの木馬にリンクされたり、プログラムが削除されたりするのは非常に悲惨です。運が悪いとランキングが下がってしまいます。も下がります。したがって、常にデータをバックアップすることを忘れないでください。 ！ ！

詳細情報: DreamWeaver Web サイトのデータ バックアップ手順の図

これまでに発見された悪意のあるスクリプト ファイルは次のとおりです。

plus/90sec.php
plus/ac.php 
plus/config_s.php 
plus/config_bak.php 
plus/diy.php 
plus/ii.php 
plus/lndex.php 
data/cache/t.php 
data/cache/x.php 
data/config.php 
data/cache/config_user.php 
data/config_func.php

アップロードされたスクリプトのほとんどは、plus、data、data/cache の 3 つのディレクトリに集中しています。3 つのディレクトリに最近アップロードされたファイルがないかよく確認してください。サーバーは WIN の場合、シリーズサーバーなら、安全に設置できます。犬およびその他の関連保護ツール;

以上がDedeCms のセキュリティ問題を最適化する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。