联系我们

Email:wanzhanqun@163.com

电话:155-7782-2416

QQ:663486249

地址:北京市朝阳区广渠路38号院411号楼

织梦怎么收录

使用dedecms建站于是乎安全都是一个永恒的话题,网站上线之后需要怎么加强安全防护这对于很多的新手站长来说是有那么一些迷茫的,而网站的各种攻防有必须去做,今天就来分享一下dedecms服务器上的安全加固方法吧。

01网站安装时的安全加固

不论是本地环境还是服务器环境,建站的第一步就是安装dedecms,在安装的过程中,在填写数据库信息这里,记得修改一下数据表前缀,默认是“dede_”,将dede修改为其他的,避免hiker直接就知道数据表前缀进行某些敏感操作,修改了虽然不能说提高了多少安全性,但起码也会给他增加攻击你网站的难度。

dedecms安装修改数据表前缀

很多的站长在安装时都习惯使用默认的,这是样不好,改一下对网站也没有什么影响,如果是已经安装过的网站,可以百度一下修改dedecms默认表前缀的方法对照修改。

另外安装的时候管理员用户名不要用admin或administrator这种大家都能猜到的用户名,可以使用你的网名或经过设计的用户,要避免别人来猜你的管理员账号,在安装系统的时候就设置好;密码也尽量设置复杂一些,别用那些常见的弱密码。已经安装好网站可以去后台---系统设置里面更改管理员用户名和密码!

02按照后台提示修改相关设置

在网站后台首页,你会看到如下图所示的提示,因为我这个是安装在本地电脑上的测试网站,所以没有做修改,但是如果有提示就要按照要求去修改。

dedecms后台首页安全提示

把网站后台默认的dede这个文件夹重命名为其他的,比如mycms、lovedd等都是可以的,因为我们都知道dedecms默认的后台登录地址,你不修改即使小白也会找到你的后台登录地址。修改好这里还有屏蔽一下搜索引擎收录登录页面,我发现百度搜索引擎会收录后台登录页面,很多的网站后台登录文件夹重命名设置很复杂,但是被收录了,hiker可以通过搜索引擎找到登录页面地址,这个很不妙。方式是打开dedecms根目录\dede\templets\login.htm文件,搜索代码:

<title><?php echo $cfg_webname." "; ?></title>

在这句代码的前面一行添加:

<meta name="robots" content="noindex">这句代码的意思是告诉所有的搜索引擎禁止索引本页面,不建议在robots.txt文件内使用disallow来屏蔽,因为懂行的人会去看你的robots文件,发现有一个奇怪的文件夹,他可以尝试去访问。

使用meta的方式来屏蔽搜索引擎抓取收录登录页面才是最佳的方法,这个由于很多开发或站长不懂SEO优化,在在这里往往会被忽略掉,或者使用不正确的方法。

03data/common.inc.php设置为只读

Linux服务器的设置比较简单,直接通过ftp将data/common.inc.php的属性更改为644即可,但是使用windows系统的用户就有点麻烦了,有站长反应设置总是不成功,明明设置了只读,但是刷新一下网站后台有提示了,其实方法比较简单,在data/common.inc.php文件上点右键--属性---安全---编辑,选择对应的用户名,下图所示,把写入后的“拒绝”框中选上就可以了。

common.inc.php设置只读方法

不可以直接使用属性,勾选“只读”的方式来设置,那样不会生效,必须要使用对应的用户来限制权限。设置好前面这些后台的安全就没有啦,其他的不需要设置和修改。

04使用nginx来替代Apache和iis

实话说iis安全性是最弱的,很多网站被挂马都是因为使用的是win+iis环境,而有一部分Linux+Apache环境一样被挂马,主要是iis和Apache本身有漏洞,安全性不够好,再如windows server 2003~2008,也是安全性不好的系统,有时候并不是dedecms安全性太差,而是你使用的服务器系统和web服务器被攻破了,比如phpmyadmin就相关的漏洞,hiker会通过phpmyadmin进入数据库,然后做一些见不得人的事情。

如果一定要使用win系统也是可以,将系统升级到win server2016或2019版本以上,从win2016开始,比之前的系统有很多安全上的提升。然后使用MySQL5.7,MySQL workbench8.0来替代phpmyadmin管理数据库,卸载iis安装nginx来替代web服务器,具体方法我之前有写过详细的教程发布在巅峰霸主网上。对于Linux系统,部署nginx也是比较简单的,网站有一大把的教程,百度一下你就找到了。

05关注dedecms官方的安全升级补丁

现在dedecms的安全补丁和升级已经迁移到GitHub上面了,最新的系统升级和补丁信息可以去关注GitHub上发布的信息。

安装系统时去GitHub上下载最新打了补丁的系统使用就好了,如果是老系统,下载程序后使用Beyond Compare对比修改。

06关于文件删除的问题

有很多的安全加固教程说删除会员文件夹、专题等,其实没有必要,当前最新版本的程序都已经修复了相关的漏洞,最重要的是我们会时不时地用到这些功能,删除那时因为针对只做内容发布的网站还行,如果有会员系统,删除了你想干什么,不用了吗?有人删了又去整合UCenter,结果是可能会带来新的漏洞,还不如直接使用。

做好以上这些设置,dedecms已经是比较安全的程序了。重点是服务器和web环境,根据相关的网站被黑信息显示,绝大部分都是使用win2003或2008+iis,有站长反应iis默认里面的默认域名总是会被修改,而且还会被创建隐藏的服务器管理员账号,这些都是win服务器的安全性太低造成的,和dedecms没有什么关系。

热门地区

雅安 怀化 石嘴山 河津 穆棱 宝鸡 江油 吴忠 白城 钟祥 阳泉 泊头 五家渠 金坛 芜湖 枣阳 常熟 大理 安阳 高要 双辽 龙口 永城 汉中 古交 禹州 固原 醴陵 洪江 宜都 图木舒克 汝州 澳门 张家港