高速度主机原创：全面分析Dedecms网站挂马防范安全措施

Dede作为国内一套比较优秀的cms，深受众多站长的喜爱，dede的简单、便捷、易上手，许多人把dede（织梦内容管理系统）作为建站的首选，正是因为如此用的人越多，安全问题就越多，因为这套cms已经被人研究透彻了。为了防范别人的入侵，我们应该做好网站的安全防范措施。具体怎么做类？您在阅读本文之前，我相信，您肯定也在网上找了许多类似这样的教程看了，那么，请你继续阅读这篇，高速度 主机（www.gaosudu.com）小编们在日常维护中总结的对dede挂马、dedecms旁注、dedecms注入等安全设置的经验，针对性一些经过我们实验、确实可行的dedecms网站安全加固措施，以下几个方面是防止dedecms网站挂马方法，详细部署请带着您的问题仔细往下看：

一 、网站安全第一道防线——网站管理员口令。

密码，密码，这个在任何地方、任何人都会说的一个问题，高速度 主机（www.gaosudu.com）小编这里，依然再次强调，请你使用强壮密码，请您重视它，否则您将受到惩戒。我们都知道，dedecms内容管理系统的管理员密码是通过MD5加密的，你知道，别人也知道。简单的md5字符串是很容易破解的，所以网站的密码一定要设置足够强壮，数字、字母、特殊符号组合10位以上，这样即便网站管理员口令被强制“爆破”，这也给别人破解md5密码加密增加难度。

二 、删除多余组件, 避免被hack木马注入（非常重要)

在服务器安全策略配置中，有一条原则：“最小权限运行，就是最大的安全保障”，这条规则，同样也适用于，指导个人网站安全策略部署，让你的dedecms最小化运行吧，也就是自己用什么功能就、安装什么功能，不要的统统删除。在dedecms中表现如下五个形式，请你根据高速度 主机（www.gaosudu.com）的指导，参考配置：

1、dedecms（织梦内容管理系统）安装完毕后，把install文件删除掉，把后台目录直接改名dede改名。如果你不会做？请你详细操作指导教程：高速度 主机教你如何修改织梦CMS（DEDE)管理员后台登录路径

2、不需要的功能可以去掉，比如很多站长根本用不到会员系统的功能，那我们就把member这个目录删掉，防止hack爆库，还有special, plusguestbook留言板都是可以删除的。将每个目录添加空的index.html，防止目录被访问。

3、dede管理目录下的：

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

这些文件是后台文件管理器，高速度 主机（www.gaosudu.com）任务这个功能最多余，也最影响安全，许多hack都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马太方便了。一般用不上请统统删除。

4、SQL命令运行器，不是人人都用的上，强烈建议删除它。删除方法：删除dede/sys_sql_query.php 这个文件即可。避免HACK利用，sql执行语句是非常危险的，如果你要使用，建议您使用高速度 主机提高的安全的phpmyadmin工具执行sql命令。

5、tag功能和顶客功能的，请你删除网站根目录（public_html）tag.php和、digg.php和diggindex.php。

三、防止hack利用发布文档上传木马

Dedecms 的Include目录是黑客同志们非常喜欢的一个目录，小编在日常维护中，发现大约有60%的dedecms网站的木马都是被挂在include下面的，请您务必仔细阅读如下内容：在include目录下面找到config_base.php，下载到本地电脑，使用文本编辑器 打开找到：Copy code//禁止用户提交某些特殊变量$ckvs =Array('_GET','_POST','_COOKIE','_FILES');foreach($ckvsas $ckv){if(is_array($$ckv)){foreach($$ckvAS $key => $value)if(eregi("^(cfg_|globals)",$key))unset(${$ckv}[$key]);}}改为下面代码Copy code//把get、post、cookie里的$ckvs =Array('_GET','_POST','_COOKIE');foreach($ckvsas $ckv){if(is_array($$ckv)){foreach($$ckvAS $key => $value)if(!empty($value)){${$ckv}[$key]= str_replace('<'.'?','&'.'lt;'.'?',$value);${$ckv}[$key]= str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);}if(eregi("^cfg_|globals",$key))unset(${$ckv}[$key]);}}//检测上传的文件中是否有PHP代码，有直接退出处理if(is_array($_FILES)) {foreach($_FILESAS $name => $value){${$name}= $value['tmp_name'];$fp =@fopen(${$name},'r');$fstr =@fread($fp,filesize(${$name}));@fclose($fp);if($fstr!=''&& ereg("<?",$fstr)){echo"你上传的文件中含有危险内容，程序终止处理!";exit();}}}四、严防死守网站目录权限的设置，删除php执行权限，拒绝防止木马的执行首先，高速度 主机（www.gaosudu.com）要告诉大家，高速度 主机的所有php虚拟主机都是纯linux环境下的空间，那么，您可以自动自定义站点目录下的文件夹和文件权限，建议你先阅读“linux虚拟主机,linux空间站点目录权限设置高级篇”了解下linux权限设置方面的知识，这会让你少走弯路。高速度 主机不建议用户把栏目目录设置在根目录， 原因：这样进行安全设置会十分的麻烦。在默认的情况下，安装完成后，目录设置如下：1、data、templets、uploads、a或5.3的html目录， 设置可读写，不可执行的权限；2、不需要专题的，建议删除 special 目录， 需要可以在生成HTML后，删除 special/index.php 然后把这目录设置为可读写，不可执行的权限；3、 include、member、plus、后台管理目录 设置为可执行脚本，可读，但不可写入（安装了附加模块的，book、ask、company、group 目录同样如此设置）。4、删除目录php执行权限。这个是dedecms官方强烈推荐的安全防范措施，请你务必重视，实现方法见：高速度 主机教你DEDECMS V5.7SP1取消PHP空间目录脚本执行权限高速度 主机（www.gaosudu.com）我用自己的一句话概括这样的设置是：所有能够执行脚本的文件只能读，不能写，能够写入的文件却不能执行脚本，这样做的效果是尽可能的做到最严密的设置。至于设置的权限的方法在ftp工具上右击“属性”即可设置。关于权限，高速度 主机（www.gaosudu.com）系列免被备案php虚拟主机都已经做好策略，请您安装的时候默认权限即可，请不要随意改动默认权限，目录默认权限：文件夹755，单个文件644。五、定期扫描病毒，利用Dede管理员后台有个病毒扫描的功能，我们可以定期对整站进行扫描，遇到可疑文件立即进行处理。还有就是经常更新官方的漏洞补丁。把以上做好，dede的大部分安全隐患都可以去除!更多关于dedecmns网站安全设置的参考教程，强烈推荐您阅读：高速度 主机总结：如何排查DEDECMS入侵和挂马的经验

加强DEDECMS目录权限设置抵御入侵威胁

纯Linux环境下高端免备案【香港独立IP地址】 php空间，仅仅只需199元一年起。商务中国域名核心代理直销50元注册国际顶级域名

本文地址：https://www.gaosudu.com/dedecms/6915.html