Dedecms做為國內(nèi)使用最為廣泛使用人數(shù)最多的CMS之一���,相信很多站長和我一樣選擇了它,它的優(yōu)點(diǎn)我就不多說了��。可是令很多站長頭疼的是����,用dedecms建的站經(jīng)常被人莫名其妙的掛馬����,造成滿頁黑鏈、廣告��、彈框����,令人氣憤�;更為可怕的是����,還有可能被搜索引擎懲罰,辛辛苦苦建立的站����,眼睜睜的看它權(quán)重下降,收錄減少��,甚至被K�;更為嚴(yán)重的則服務(wù)器成為肉機(jī)�,寶貴數(shù)據(jù)丟失。其實(shí)�,對于dedecms掛馬�����,我們完全可以防范于未然��。今天��,筆者就自己的體會從以下幾點(diǎn)和廣大dede愛好者們談?wù)勗鯓臃乐筪edecms被掛馬���,提高Dedecms的安全���。
先來看看原因吧,為什么PHP程序經(jīng)常出漏洞���,其實(shí)是由PHP程序本身決定的。PHP可復(fù)用性低,導(dǎo)致程序結(jié)構(gòu)錯綜復(fù)雜�����,到處是冗余代碼,這樣不僅利于漏洞的產(chǎn)生,還影響漏洞的修復(fù);PHP程序入門簡單且普遍開源���,導(dǎo)致很多人都可直接閱讀代碼����,搜尋漏洞�;這樣便有源源不斷的漏洞被發(fā)現(xiàn)、被修復(fù)�����、被發(fā)現(xiàn)����。而當(dāng)前流行的PHP系統(tǒng)習(xí)慣用以文件形式做為緩存����,這樣就需要開放文件的寫入權(quán)限���,這無疑成為PHP系統(tǒng)的軟肋��。目前針對PHP系統(tǒng)的攻擊方式��,除了已經(jīng)很少出現(xiàn)的“注入”攻擊外,大部分攻擊都是通過系統(tǒng)的某個漏洞����,向可寫文件里插入一句話木馬,以此方式獲得shell。
網(wǎng)站安全從來都是服務(wù)器配置、文件權(quán)限控制和網(wǎng)站程序三者的相互配合,“可執(zhí)行的文件不允許被修改��,可寫文件不允許被訪問”這是網(wǎng)站權(quán)限控制的根本原則�,網(wǎng)站程序在“可寫文件不允許被訪問”方面可做許多工作���。就拿Dedecms來說,我們可以在如下幾個方面做好保護(hù)�����。
1�、我們下載并安裝了程序之后����,首先就是要設(shè)置目錄權(quán)限�����,這樣即使木馬突破服務(wù)器的限制�,我們也讓它找不到進(jìn)一步破壞的地方���。我們可以把data����、templets�、uploads設(shè)置為可讀寫,不可執(zhí)行權(quán)限����。把include�����、member�����、plus����、后臺管理目錄 設(shè)置為可讀����,可執(zhí)行,不可寫入權(quán)限(安裝了附加模塊的���,book、ask、company����、group 目錄同樣如此設(shè)置)����。
2、改名根目錄下的data目錄��,或者移動到網(wǎng)站目錄外面。data目錄便是最藏污納垢的地方����,系統(tǒng)經(jīng)常要往這個目錄寫數(shù)據(jù),這個目錄下的任何一個文件都可以通過URL訪問到���,所以要讓瀏覽器訪問不到里面的文件,就需要將此目錄改名����,或者移動到網(wǎng)站的目錄外面去。這樣����,即使別人通過漏洞往文件里寫入了一句話木馬,他也找不到此木馬所在的文件路徑����,無法繼續(xù)展開攻擊�。因?yàn)镈edecms程序的設(shè)置,所以改名data目錄操作比較復(fù)雜�����,具體做法可以參考:如何將織夢的data目錄遷移到根目錄以外
3�����、程序越大��、漏洞就越多��,我們就需要精簡網(wǎng)站,一些不常用的dedecms功能��,我們的網(wǎng)站用不到的功能就可以刪除��。
比如 dedecms的member文件夾是會員系統(tǒng)���,用不到可以刪除����;
special是專題�����,用不到可以刪除���;需要可以在生成HTML后,刪除�。
company是企業(yè)功能模塊�����,用不到可以刪除����;
plusguest/book 是留言板����,用不到可以刪除;
install是安裝程序����,install在程序安裝完后刪除它��。(強(qiáng)烈建議刪除或者改名)
dede是網(wǎng)站后臺管理目錄����,請把dede改名��,越復(fù)雜越安全���,但是自己一定要記住�,最好不要用網(wǎng)站名稱之類容易猜到的���。后臺地址隱藏好,即使別人獲得了你的管理員賬號��、密碼���,也無法登錄�����。
所有PHP開源程序安全設(shè)置都有相通之處,要學(xué)會舉一反三���。不妨學(xué)習(xí)一下其它開源系統(tǒng)的網(wǎng)站安全設(shè)置經(jīng)驗(yàn)��。
4、FTP密碼復(fù)雜化���,如果你的FTP密碼很簡單���,就很容易被黑客猜中�。因此盡量將FTP密碼設(shè)置的復(fù)雜一些,最好字母+數(shù)字組合�����,10位以上����,讓那些破解程序破解去吧(我們空間默認(rèn)的FTP密碼就是復(fù)雜隨機(jī)密碼����,更改密碼之后一定要牢記密碼)�。
5���、網(wǎng)上流傳的經(jīng)典防黑客注入方法(DEDE防注入兩方法)
一是將每個目錄添加空的index.html,防止目錄被訪問��;
二是給做好網(wǎng)站301頁面、403頁面���、404頁面可以禁止訪問某頁或某文件����。
6、多關(guān)注官方平臺����,登錄網(wǎng)站后臺看看系統(tǒng)主頁有沒有升級更新的補(bǔ)丁提示�,及時(shí)更新和升級補(bǔ)丁���。友情提示:升級程序之前別忘記了重要數(shù)據(jù)的備份,包括圖片�、模板等。
7���、最后一點(diǎn)��,數(shù)據(jù)備份�����。其實(shí)即使我們做到了最嚴(yán)格的防范��,也不能完全防止被掛馬�,正所謂道高一尺魔高一丈����!所以你的網(wǎng)站數(shù)據(jù)一定要經(jīng)常備份�����。這樣就算是網(wǎng)站被黑,也能通過重裝程序還原數(shù)據(jù),將損失降低到最低�����,畢竟數(shù)據(jù)是站長們最寶貴的財(cái)富���。
