DEDECMS织梦模板安全设置 DEDECMS防黑加固攻略
为安全起见,先做好全站数据和文件的备份,以下教程是92模板网的总结经验,本人也是这样设置,没有任何问题
已知漏洞修复(2020年3月4号之前发布的模板,请下载下面的文件进行修复,3月4号之后发布的模板,已经修复了,不用下载了)
文件1:include/dedesql.class.php
文件2:include/uploadsafe.inc.php
文件3:include/dialog/select_soft_post.php
文件4:dede/config.php
文件5:dede/file_class.php (2020/03/04 更新了这个文件,请下载更新)
文件6:plus/guestbook/edit.inc.php
以上三个文件存在漏洞,请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先的做好备份,以防万一。
百度网盘下载链接:https://pan.baidu.com/s/1xsGX3OSwdVJprng9nT4F6w 提取码:7gag
一 修改默认后台名
打开网站根目录,找到[dede]文件夹,这个文件夹就是后台的路径,可以随意修改,比如修改为[92jzhcom],此时后台登陆的路径为:http://你的域名/92jzhcom/
二 删除member文件夹(不需要会员系统的,都删除这个文件夹)
只要你的网站用不到会员系统,就可以将这个文件夹删除了。如果用到会员系统就不要删除了。
一般企业站都用不到会员系统。删除他,不但可以防攻击,还可省空间容量。
三 删除special文件夹
Special文件夹是专题的意思,92模板网上下载的源码都没有用到这个专题页面,所以大家放心删掉好了。
四 打开plus文件夹
本站模板已将plus里没必要的文件删除,此处不用动了。
五 DEDE文件夹下 删除以下文件
ad_add.php
ad_edit.php
ad_main.php
adtype_main.php
这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个(只有少数新闻博客模版有广告位)
----------------------------------
cards_make.php
cards_manage.php
cards_type.php
这几个是会员点卡功能 所有模版都没用到这个 直接删除
----------------------------------
feedback_edit.php
feedback_main.php
这是评论功能 所有模版都没用到这个 直接删除
----------------------------------
file_class.php
file_manage_control.php
file_manage_main.php
file_manage_view.php
file_pic_view.php
这几个是附件管理 文件式管理器 这个是影响安全,很多用户在用这个功能 必须删除 ,改成FTP上传文件图片等
----------------------------------
freelist_add.php
freelist_edit.php
freelist_main.php
这几个是自由列表管理 所有模版都没用到这个 直接删除
----------------------------------
getdedesysmsg.php
这个是织梦官方广告 直接删除
----------------------------------
group_edit.php
group_guestbook.php
group_main.php
group_notice.php
group_store.php
group_threads.php
group_user.php
这几个是圈子功能 所有模版都没用到这个 直接删除
----------------------------------
mail_file_manage.php
mail_getfile.php
mail_send.php
mail_title.php
mail_title_send.php
mail_type.php
这几个邮件管理功能 所有模版都没用到这个 直接删除
----------------------------------
mda_main.php
这个是织梦官方广告 直接删除
----------------------------------
media_add.php
media_edit.php
media_main.php
这几个是上传文件 这个是影响安全,很多用户在用这个功能 必须删除 ,改成FTP上传文件图片等
----------------------------------
member_do.php
member_feed_edit.php
member_guestbook.php
....
所有的 member_开头的 这些是会员注册等 只要网站用不到会员系统,都可以删除。
----------------------------------
mynews_add.php
mynews_edit.php
mynews_main.php
这几个是站内新闻 所有模版都没用到这个 直接删除
----------------------------------
mytag_add.php
mytag_edit.php
mytag_main.php
mytag_tag_guide.php
mytag_tag_guide_ok.php
这几个是自定义标记 所有模版都没用到这个 直接删除
----------------------------------
shops_delivery.php
shops_operations.php
shops_operations_cart.php
shops_operations_userinfo.php
订单功能 也是带会员的才会用到 只要没有订单功能都可以删除。
----------------------------------
soft_add.php
soft_config.php
soft_edit.php
下载功能 只要没有下载功能都可以删除。
----------------------------------
spec_add.php
spec_edit.php
这几个专题功能 所有模版都没用到这个 直接删除
----------------------------------
story_add.php
story_add_action.php
....
所有的 story_ 开头的 这些都是小说功能 所有模版都没用到这个 直接删除
----------------------------------
sys_sql_info.php
sys_sql_query.php
如果不需要SQL命令运行器 可以直接删除
----------------------------------
vote_add.php
vote_getcode.php
vote_edit.php
vote_main.php
这几个是投票功能 所有模版都没用到这个 直接删除
六 删除根目录下的install 文件夹
这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。
七 修改用户名和密码
修改密码很简单,后台-系统-系统用户管理,点更改,然后修改即可,但是用户名默认的是admin,大家发现不能修改用户名,其实是可以的。
依次打开:右上角的【功能地图】-->找到【批量维护】-->找到【数据库内容替换】
也可以直接打开:http://你的域名/dede/sys_data_replace.php
然后按下图所示操作:
新的用户名小心填错,以免不知道用户名,进不去后台。修改后,在后台退出,然后重新进后台,用新的用户名登录。
八 改变织梦data目录位置
data目录用于存放织梦系统一些重要的配置文件与数据,应该予以重点保护。具体操作步骤为:
1) 新建一目录用于存放data目录,如mydata,将DATA目录移动到该目录下。这样data的完整目录变成/mydata/data
2) 修改配置文件include/common.inc.php,找到语句define('DEDEDATA', DEDEROOT.'/data'); 修改为 define('DEDEDATA', DEDEROOT.'/mydata/data');
3) 打开根目录的index.php,注释掉或者直接删除第一段代码: if(!file_exists(dirname(__FILE__).'/data/common.inc.php')) { header('Location:install/index.php'); exit(); }
九 网站定期备份
网站做好定期的备份工作,不要闲麻烦