織夢(mèng)dedecms修改include重命名提高安全性防漏洞注入掛馬��,關(guān)于織夢(mèng)后臺(tái)安全,include文件名怎么修改?
織夢(mèng)dedecms是新手站長(zhǎng)使用得比較多的一個(gè)建站開(kāi)源程序,正因如此���,也是被被入侵掛馬比較多的程序�。下面就來(lái)跟大家說(shuō)一下怎么重新命名dedecms的include文件夾來(lái)提高網(wǎng)站的安全性,減少被黑客軟件掃描到漏洞的概率���。
include文件的重命名方法網(wǎng)上比較少���,所以本文主要說(shuō)一下這個(gè)文件夾的修改。
網(wǎng)上的方法在數(shù)據(jù)庫(kù)替換��,這個(gè)我還真沒(méi)有試過(guò)���,不過(guò)我知道��,查找include��,然后替換成ainclu��,這個(gè)辦法是不存在的�����,所以�����,想要改名����,要一步一步的來(lái)。
首先做好整站備份����,后臺(tái)數(shù)據(jù)庫(kù)備份,然后打包整站備份好�,就算修改include更名失敗只要?jiǎng)h除就好
網(wǎng)站備份操作如下:
1、比如網(wǎng)站放在11181文件夾里面��,先登錄后臺(tái)數(shù)據(jù)庫(kù)備份���,備份完成后�����,復(fù)制11181文件夾��,然后在粘貼����,這樣會(huì)有一個(gè)11181 - 副本文件夾
2、如果改名include失敗�����,后臺(tái)不能登錄����,或者出現(xiàn)意外直接刪除11181文件夾��,改名11181 - 副本為11181
3�����、按照下面步驟重復(fù)改名include幾次�,你會(huì)成功的。備份做好����,以防萬(wàn)一。
改名查找技巧:文件include的修改大家注意這點(diǎn)�����。我們是不能把所有文件里的include都替換成ainclu的,我的是把“include/”替換成“ainclu/”�����,然后再把“/include”替換成“/ainclu”�,進(jìn)行兩次整站的替換,目前還沒(méi)發(fā)現(xiàn)有什么錯(cuò)誤��,因?yàn)閕nclude是php的語(yǔ)言��,有很多地方的“include”我們是不能換的���。
第一�、include文件夾的重命名修改
把include替換成你想要的名字���,比如ainclu
溫馨提醒改名include文件名�����。一定要和include相應(yīng)的字母數(shù)字一樣����,比如include有7個(gè)字母,那么你改名的ainclu也是七個(gè)字母
我不知道這個(gè)說(shuō)法成立還是不成立��,但是��,有人改名include多出幾個(gè)字母導(dǎo)致功能不能使用��,具體的請(qǐng)自己掂量
1��、打開(kāi)根目錄的index.php
找到
require_once (dirname(__FILE__) . "/include/common.inc.php");
改成
require_once (dirname(__FILE__) . "/ainclu/common.inc.php");
2����、有用tag標(biāo)簽的打開(kāi)tags.php
找到
require_once (dirname(__FILE__) . "/include/common.inc.php");
改成
require_once (dirname(__FILE__) . "/ainclu/common.inc.php");
二����、將include文件夾改為ainclu
1、打開(kāi)include/common.inc.php 大概185行 找到
$cfg_basedir = preg_replace('#'.$cfg_cmspath.'/include$#i', '', DEDEINC);
改為
$cfg_basedir = preg_replace('#'.$cfg_cmspath.'/ainclu$#i', '', DEDEINC);
2�、如果使用ckeditor編輯器的
打開(kāi)include/ckeditor/config.js 里面有有../include/
// 文件瀏覽
config.filebrowserImageBrowseUrl = "../include/dialog/select_images.php";
config.filebrowserFlashBrowseUrl = "../include/dialog/select_media.php";
config.filebrowserImageUploadUrl = "../include/dialog/select_images_post.php";
這三個(gè)地方需要改名
3、找到include/inc/inc_fun_funAdmin.php 查找include 找到
$CKEditor->basePath = $GLOBALS['cfg_cmspath'].'/include/ckeditor/' ;
改為
$CKEditor->basePath = $GLOBALS['cfg_cmspath'].'/ainclu/ckeditor/' ;
繼續(xù)找到
$fck->BasePath = $GLOBALS['cfg_cmspath'].'/include/FCKeditor/' ;
改為
$fck->BasePath = $GLOBALS['cfg_cmspath'].'/ainclu/FCKeditor/' ;
這個(gè)是編輯器的����,如果有添加百度編輯器的也要改下/ainclu/UEditor/'
三、將plus文件夾里面的php改為ainclu
把所有php文件都拖到notepad++ 查找
/../include/common.inc.php
改為或者替換為
/../ainclu/common.inc.php
plus目錄下的php文件帶有require_once(dirname(__FILE__)."/../include/common.inc.php");的還蠻多的
四���、打開(kāi) templets/plus下所有的htm
查找include
<script language="javascript" src="../include/dedeajax2.js"></script>
<script language="javascript" type="text/javascript" src="../include/js/dedeajax2.js"></script>
<img src='../include/vdimgck.php' />
想辦法把dedeajax2.js搬家和驗(yàn)證碼../include/vdimgck.php搬移出include目錄
五�、打開(kāi)templets/default下所有的htm
這個(gè)是模板目錄,和上一步一樣���,遷移dedeajax2.js和驗(yàn)證碼../include/vdimgck.php
注意不要使用{dede:global.cfg_templets_skin/}暴露模板目錄的標(biāo)簽
六����、會(huì)員目錄member
1�、打開(kāi)ajax_feedback.php里面有個(gè)驗(yàn)證碼的位置需要修改
rc='{$cfg_cmsurl}/include/vdimgck.php'
修改為
rc='/ainclu/vdimgck.php'
2、打開(kāi)config.php找到
require_once(dirname(__FILE__).'/../include/common.inc.php');
改為
require_once(dirname(__FILE__).'/../ainclu/common.inc.php');
3���、打開(kāi)member/templets里面的htm
里面有驗(yàn)證碼的
../include/vdimgck.php
改成
../ainclu/vdimgck.php
七��、dede后臺(tái)目錄
將后臺(tái)根路徑(如果未改后臺(tái)路徑則是:網(wǎng)站根路徑/dede)下的config.php 找到
require_once(DEDEADMIN.'/../include/common.inc.php');
改為
require_once(DEDEADMIN.'/../ainclu/common.inc.php');
1�����、打開(kāi)dede目錄下的所有的php
把“include/”替換成“ainclu/”�����,然后再把“/include”替換成“/ainclu”
2���、打開(kāi)dede/inc/inc_list_functions.php 找到
require_once(dirname(__FILE__)."/../../include/common.inc.php");
改成
require_once(dirname(__FILE__)."/../../ainclu/common.inc.php");
3�����、打開(kāi)dede/js/main.js
把“include/”替換成“ainclu/”�,然后再把“/include”替換成“/ainclu”
4����、打開(kāi)dede/templets目錄下的所有htm
把“include/”替換成“ainclu/”,然后再把“/include”替換成“/ainclu”
這個(gè)是后臺(tái)文件 一般都是js目錄路徑和驗(yàn)證碼路徑�,如果驗(yàn)證碼有更改的按更改的改
這樣就修改完成了include改名為ainclu
如果出現(xiàn)以下情況請(qǐng)看,不包括沒(méi)有
但是修改完以后��,你會(huì)發(fā)現(xiàn)后臺(tái)是白的����,什么內(nèi)容也沒(méi)有,通過(guò)一下午的尋找終于找到原因�,如下:
特殊情況:
將改名后文件夾中ainclu/common.inc.php里面的define('DEDEROOT', str_replace("", '/', substr(DEDEINC,0,-8) ) );
這句話中給DEDEROOT定義,卻沒(méi)有顯示���,或者不對(duì)。后來(lái)才發(fā)現(xiàn)是截取出了問(wèn)題�����。
將其改為define('DEDEROOT', str_replace("", '/', substr(DEDEINC,0,-6) ) );即可。
完成上面的步驟后后臺(tái)已經(jīng)完成用正常使用��。
其他網(wǎng)上找到其他提高網(wǎng)站安全性的方法:
DEDE管理目錄下的 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 這些文件是后臺(tái)文件管理器(這倆個(gè)功能最多余���,也最影響安全�,許多HACK都是通過(guò)它來(lái)掛馬的����。它簡(jiǎn)直就是小型掛馬器,上傳編輯木馬忒方便了���。一般用不上統(tǒng)統(tǒng)刪除) �����。
不需要SQL命令運(yùn)行器的將dede/sys_sql_query.php 文件刪除�����。避免HACK利用����。
不需要tag功能請(qǐng)將根目錄下的tag.php刪除���。不需要頂客請(qǐng)將根目錄下的digg.php與diggindex.php刪除
最后�,我們就完成了include的重命名修改。這樣多數(shù)小黑軟件就掃描不到我們網(wǎng)站的漏洞了���,網(wǎng)站的安全性得到了進(jìn)一步的提高���。
