注意點:1、將預設管理員admin帳號和密碼刪除,建立一個新管理員,管理員密碼一定要長,而且字母與數字混合;2、將不需要的功能刪除和暫時關閉,等需要時才開啟,避免被hack注射;3、將每個目錄添加空的index.html,防止目錄被存取;4、寫死寫入權限並安裝完成後阻止上傳PHP程式碼;5、刪除根目錄下的install資料夾,防止他人將網站重設;6、定時打補丁等等。
本教學操作環境:Windows7系統、DedeCMS 5.7、DELL G3電腦
Dedecms網站以製作方法簡單,管理方便讓許多企業、個人喜歡用dede來製作網站,那麼用dedecms製作網站需要有什麼注意的地方呢?下面一起來聊聊。
1、密碼設定篇:
管理員密碼一定要長,而且字母與數字混合,盡量不要用admin,初次安裝完成後將admin刪除,新建個管理員名字不要太簡單。
織夢系統資料庫儲存的密碼是MD5的,一般HACK就算透過注入拿到了MD5的密碼,如果你的密碼夠嚴謹,對方也逆轉不過來。也是無奈。但現在的MD5破解網站太過先進,4T的硬碟全是MD5密碼,即便你的密碼很複雜有時候都能被蒙上。我之前的站點就是這麼被駭的。所以一定密碼夠複雜。
2、精簡設定篇:
不需要的功能統統刪除。例如不需要會員就將member資料夾刪除。
Dedecms預設上傳的圖片預設會加入dede的浮水印,所以需要將浮水印暫時關閉,在後台系統->圖片浮水印下設定
刪除多餘組件是避免被hack注射的最佳方法。將每個目錄新增空的index.html,防止目錄被存取。
織夢可刪除目錄清單:member會員功能 special專題功能 install安裝程式(必刪) company企業模組 plus\guestbook留言板 以及其他模組一般用不上的都可以不安裝或刪除。
3、更改網站名稱和網站根網址
在後台系統->系統基本設定->網站設定下,變更網站名稱和網站根網址,設定成我們想要的網站名稱和網站根網址。
4、織夢可刪除檔案清單:
DEDE管理目錄下的file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 這些檔案是後台檔案管理器(這兩個功能最多餘,也最影響安全,許多HACK都是透過它來掛馬的。它簡直就是小型掛馬器,上傳編輯木馬忒方便了。一般用不上統統刪除) 。
不需要SQL指令運行器的將dede/sys_sql_query.php 檔案刪除。避免HACK利用。
不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除。
5、寫入死寫入權限並安裝完成後阻止上傳PHP程式碼
#對許多企業站來說,都是用的虛擬空間;虛擬空間的FTP的IP等都是公用的,這樣會有些站安全性非常低,很容易被人入侵。如果你的網站不幸在這些伺服器上,而且權限都是開放的話,很容易被人導入一些垃圾文件,進行影響網站的seo表現和安全。
且為了防止HACK利用發布文檔,上傳木馬。請安裝完成後阻止上傳PHP程式碼。到此基本上堵住了所有上傳與編輯木馬的可能性。
6、妥善保存空間的CP與FTP密碼
有些人使用的空間,請把空間的CP與FTP密碼妥善保存。而且密碼一定要複雜。如果自己的伺服器就要靠自己了。
7、更換登入資料夾
dede預設的登入位址都是我們的網域名稱/dede,所以我們需要在後台將dede資料夾重新命名為其他名字。
8、更新預設的ico圖標
網站開啟後網站上預設顯示的圖標是dede的圖標,圖示格式是ico的,我們可以百度ico圖示製作,製作自己的圖示後上傳到ftp根目錄替換dede預設的ico圖示
##9、刪除根目錄下的install資料夾
進入ftp刪除根目錄下的install資料夾,這樣網站就不可以重新安裝了,防止他人將我們的網站重置。
10、定時打補丁
#經常來織夢官方看看,有沒有新的安全性修補程式。有的務必都打上。
做到以上的安全設定方面的修改,我們就不用DEDE被掛馬了,當然沒有萬之策,但此方法可以杜絕大多數入侵情況的發生。
推薦學習:dedecms教學
#以上是dedecms要注意什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!