DEDECMS织梦模板安全设置 DEDECMS防黑加固攻略

为安全起见,先做好全站数据和文件的备份,以下教程是92建站的总结经验,本人也是这样设置,没有任何问题

已知漏洞修复(2020年3月4号之前发布的模板,请下载下面的文件进行修复,3月4号之后发布的模板,已经修复了,不用下载了)

文件1:include/dedesql.class.php

文件2:include/uploadsafe.inc.php

文件3:include/dialog/select_soft_post.php

文件4:dede/config.php

文件5:dede/file_class.php  (2020/03/04 更新了这个文件,请下载更新)

文件6:plus/guestbook/edit.inc.php

以上三个文件存在漏洞,请下载下面的文件进行修复,直接覆盖即可 不会影响网站,也可以把原先的做好备份,以防万一。

百度网盘下载链接:https://pan.baidu.com/s/1xsGX3OSwdVJprng9nT4F6w  提取码:7gag

一 修改默认后台名

打开网站根目录,找到[dede]文件夹,这个文件夹就是后台的路径,可以随意修改,比如修改为[92jzhcom],此时后台登陆的路径为:http://你的域名/92jzhcom/

二 删除member文件夹(不需要会员系统的,都删除这个文件夹)

只要你的网站用不到会员系统,就可以将这个文件夹删除了。如果用到会员系统就不要删除了。

一般企业站都用不到会员系统。删除他,不但可以防攻击,还可省空间容量。

三 删除special文件夹

Special文件夹是专题的意思,92建站上下载的源码都没有用到这个专题页面,所以大家放心删掉好了。

四 打开plus文件夹

本站模板已将plus里没必要的文件删除,此处不用动了。

五 DEDE文件夹下 删除以下文件

ad_add.php

ad_edit.php

ad_main.php

adtype_main.php

这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个(只有少数新闻博客模版有广告位)

----------------------------------

cards_make.php

cards_manage.php

cards_type.php

这几个是会员点卡功能  所有模版都没用到这个  直接删除

----------------------------------

feedback_edit.php

feedback_main.php

这是评论功能  所有模版都没用到这个  直接删除

----------------------------------

file_class.php

file_manage_control.php

file_manage_main.php

file_manage_view.php

file_pic_view.php

这几个是附件管理 文件式管理器 这个是影响安全,很多用户在用这个功能 必须删除 ,改成FTP上传文件图片等

----------------------------------

freelist_add.php

freelist_edit.php

freelist_main.php

这几个是自由列表管理  所有模版都没用到这个  直接删除

----------------------------------

getdedesysmsg.php

这个是织梦官方广告   直接删除

----------------------------------

group_edit.php

group_guestbook.php

group_main.php

group_notice.php

group_store.php

group_threads.php

group_user.php

这几个是圈子功能  所有模版都没用到这个  直接删除

----------------------------------

mail_file_manage.php

mail_getfile.php

mail_send.php

mail_title.php

mail_title_send.php

mail_type.php

这几个邮件管理功能  所有模版都没用到这个  直接删除

----------------------------------

mda_main.php

这个是织梦官方广告   直接删除

----------------------------------

media_add.php

media_edit.php

media_main.php

这几个是上传文件 这个是影响安全,很多用户在用这个功能 必须删除 ,改成FTP上传文件图片等

----------------------------------

member_do.php

member_feed_edit.php

member_guestbook.php

....

所有的 member_开头的  这些是会员注册等 只要网站用不到会员系统,都可以删除。

----------------------------------

mynews_add.php

mynews_edit.php

mynews_main.php

这几个是站内新闻 所有模版都没用到这个  直接删除

----------------------------------

mytag_add.php

mytag_edit.php

mytag_main.php

mytag_tag_guide.php

mytag_tag_guide_ok.php

这几个是自定义标记 所有模版都没用到这个  直接删除

----------------------------------

shops_delivery.php

shops_operations.php

shops_operations_cart.php

shops_operations_userinfo.php

订单功能  也是带会员的才会用到 只要没有订单功能都可以删除。

----------------------------------

soft_add.php

soft_config.php

soft_edit.php

下载功能 只要没有下载功能都可以删除。

----------------------------------

spec_add.php

spec_edit.php

这几个专题功能 所有模版都没用到这个  直接删除

----------------------------------

story_add.php

story_add_action.php

....

所有的 story_ 开头的  这些都是小说功能  所有模版都没用到这个  直接删除

----------------------------------

sys_sql_info.php

sys_sql_query.php

如果不需要SQL命令运行器 可以直接删除

----------------------------------

vote_add.php

vote_getcode.php

vote_edit.php

vote_main.php

这几个是投票功能  所有模版都没用到这个  直接删除

六 删除根目录下的install 文件夹

这是安装目录,因为我们都安装好了,所以这个没用了,删除即可。

七 修改用户名和密码

修改密码很简单,后台-系统-系统用户管理,点更改,然后修改即可,但是用户名默认的是admin,大家发现不能修改用户名,其实是可以的。

依次打开:右上角的【功能地图】-->找到【批量维护】-->找到【数据库内容替换】

也可以直接打开:http://你的域名/dede/sys_data_replace.php

然后按下图所示操作:

修改用户名和密码

新的用户名小心填错,以免不知道用户名,进不去后台。修改后,在后台退出,然后重新进后台,用新的用户名登录。

八 改变织梦data目录位置

data目录用于存放织梦系统一些重要的配置文件与数据,应该予以重点保护。具体操作步骤为:

1) 新建一目录用于存放data目录,如mydata,将DATA目录移动到该目录下。这样data的完整目录变成/mydata/data

2) 修改配置文件include/common.inc.php,找到语句define('DEDEDATA', DEDEROOT.'/data'); 修改为 define('DEDEDATA', DEDEROOT.'/mydata/data');

3) 打开根目录的index.php,注释掉或者直接删除第一段代码: if(!file_exists(dirname(__FILE__).'/data/common.inc.php')) { header('Location:install/index.php'); exit(); }

九 网站定期备份

网站做好定期的备份工作,不要闲麻烦