|
有很多人反映織夢(mèng)的安全性不夠�,漏洞太多�,很多人都因?yàn)檫@個(gè)放棄了織夢(mèng)CMS�����,但是要知道網(wǎng)站安全都是服務(wù)器配置����、文件權(quán)限控制和網(wǎng)站程序三者的相互配合�����,世界上沒(méi)有絕對(duì)安全的程序�����,但是我們可以通過(guò)對(duì)織夢(mèng)CMS網(wǎng)站程序的修改來(lái)提高安全性�����。
例如:“可執(zhí)行的文件不允許被修改����,可寫(xiě)文件不允許被訪問(wèn)”這是網(wǎng)站權(quán)限控制的根本原則,網(wǎng)站程序在“可寫(xiě)文件不允許被訪問(wèn)”方面可做許多工作���。
我們可以在如下幾個(gè)方面做好系統(tǒng)安全防護(hù):
1��、修改織夢(mèng)默認(rèn)的data目錄的名稱(chēng)�����,或者移動(dòng)到網(wǎng)站目錄外面
織夢(mèng)的data目錄是最容易藏污納垢的地方����,系統(tǒng)經(jīng)常要往這個(gè)目錄寫(xiě)數(shù)據(jù)����,這個(gè)目錄下的任何一個(gè)文件又都可以通過(guò)URL訪問(wèn)到,所以要讓瀏覽器訪問(wèn)不到里面的文件�,就需要將此目錄改名,或者移動(dòng)到網(wǎng)站的目錄外面去���。這樣���,就算別人通過(guò)漏洞往文件里寫(xiě)進(jìn)了一句話木馬,他也找不到此木馬所在的文件路徑����,無(wú)法繼續(xù)展開(kāi)攻擊。
因?yàn)镈edeCMS程序的不合理���,所以data目錄改名會(huì)比較麻煩����,具體做法如下:
a)將公開(kāi)的內(nèi)容遷移到pub目錄(或者其它自定義目錄)下,如rss���、sitemap���、js、enum等�����,此步驟需要移動(dòng)文件夾��,并修改這些文件的生成路徑
b)修改引用程序目錄
c)修改data文件夾名稱(chēng)���,并修改include/common.inc.php文件里的“DEDEDATA”的值��,再在后臺(tái)系統(tǒng)設(shè)置-參數(shù)設(shè)置里修改模板緩存目錄��,即可修改完成�����。以后也可以按照此步驟來(lái)更改data文件夾名稱(chēng)���。
2、改名"dede"管理目錄名���,并加固:
如果把后臺(tái)隱藏好了�,即使別人獲得了你的管理員賬號(hào)�����、密碼�,他也無(wú)從登錄。具體需該如下:
a)在/dede/config.php里��,找到如下代碼:
//檢驗(yàn)用戶登錄狀態(tài)
$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
{
header("location:login.php?gotopage=".urlencode($dedeNowurl));
}
|
把上面代碼���,改為下面的:
//檢驗(yàn)用戶登錄狀態(tài)
$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
{
//header("location:login.php?gotopage=".urlencode($dedeNowurl));
header("HTTP/1.0 404 Not Found");
exit();
}
|
b)修改/dede/login.php的文件名稱(chēng)���,并對(duì)應(yīng)的修改/dede/templets/login.htm里的表單提交地址;
c)修改/dede/的目錄名稱(chēng)����;
這樣�����,別人在沒(méi)有登錄前����,只能訪問(wèn)/dede/login.php改名后的地址�����,訪問(wèn)其他地址均會(huì)獲得404錯(cuò)誤�。
當(dāng)然,做了安全加固后�����,以后DedeCMS的更新升級(jí)也會(huì)有一些麻煩��。
|
