1、 网站在安装的时候,可以把网站表的默认前缀dede_,改成其它的比如dule_,随便一个都可以的。
2、 将网站的后台登录地址更换,dedecms的后台默认登录地址是http://www.你的网址/dede,可以把dede文件夹换成其它名字。
3、 降网站的默认管理员删了之后,新建一个自己专用的拥有全陪的权限帐号,密码最好是复杂一点。
4、 网站安装好之后删除install文件目录
5、 网站上面的用不到功能进行清理,比如会员,评论,等
6、 多关注dedecms管网,如果出现安全补丁,及时进行身级。
7、 最近dedecms官网出一万能安全防护代码,可以登录官网站到论坛去下载。
8、可以根据自己的需要删除目录:member、special、company、plusguestbook
更要注意:文件管理器,这个是会通过hack挂马的:file_manage_control.php、file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、media_main.php
SQL命令运行器:dede/sys_sql_query.php
tag功能:tag.php
digg.php与diggindex.php
9、及时打补丁
第十、下载发布功能:我也忘记了(好像似soft_x_x.php)
10、万能安全防护代码:config_base.php在这里面设置
| 代码如下 | 复制代码 |
|
//禁止用户提交某些特殊变量 $ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]); } } |
|
改为这个:
| 代码如下 | 复制代码 |
|
//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(!empty($value)){ ${$ckv}[$key] = str_replace(‘<'.'?','&'.'lt;'.'?',$value); ${$ckv}[$key] = str_replace('?'.'>‘,’?’.’&’.’gt;’,${$ckv}[$key]); } if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]); } } //检测上传的文件中是否有PHP代码,有直接退出处理 if (is_array($_FILES)) { foreach($_FILES AS $name => $value){ ${$name} = $value['tmp_name']; $fp = @fopen(${$name},’r'); $fstr = @fread($fp,filesize(${$name})); @fclose($fp); if($fstr!=” && ereg(“<?”,$fstr)){ echo “你上传的文件中含有危险内容,程序终止处理!”; exit(); } }} |
|
11、定期做好备份
12、那些文件该设置可读,那些可以可读跟写入
13.大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件,设置此目录权限。
最后谨记一点经常检查自己的网站,是否被挂黑链,,被挂是小事,如果被挂木马删程序的话不好了,严重一点的,网站的排名都会掉的,所以及时检查网站,也及给网站定时的备份,保证网站安全的运行,这些事情都会在意料之外发现的,做好防范措施。