special 专题文件夹全体删除
install 安装文件夹全体删除
robots.txt 文件删除
删除 /templets/default 官方默认模板这个文件夹(在你自己有模板的情形下,如果没有,请勿删除)
删除PLUS文件夹除下列文件外的所有文件,保留下面几个文件。
/plus/img (文件夹)
/plus/count.php
/plus/diy.php
/plus/list.php
/plus/search.php
/plus/view.php
三、修正默认后台管理目录名称,安装时不要用默认的admin当管理员帐号及密码。四、修复刚刚下载的织梦最新程序包里已知漏洞打开 /include/dialog/select_soft_post.php 搜索
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {ShowMsg("你指定的文件名被系统禁止!
",'javascript:;');exit();}
打开 /dede/media_add.php 找到(dede是你网站管理后台目录名称)
$fullfilename = $cfg_basedir.$filename;
在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ShowMsg("你指定的文件名被系统禁止!
",'java script:;');exit();}
打开/dede/config.php
搜索
if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){
大约在67行,把它更换为
if(!isset($token) || strcasecmp($token, $_SESSION['token']) !== 0){
apache环境
<rule name="Block data" stopProcessing="true"><match url="^data/(.).php$" /><conditions logicalGrouping="MatchAny"><add input="{USER_AGENT}" pattern="data" /><add input="{REMOTE_ADDR}" pattern="" /></conditions><action type="AbortRequest" /></rule><rule name="Block templets" stopProcessing="true"><match url="^templets/(.).php$" /><conditions logicalGrouping="MatchAny"><add input="{USER_AGENT}" pattern="templets" /><add input="{REMOTE_ADDR}" pattern="" /></conditions><action type="AbortRequest" /></rule><rule name="Block SomeRobot" stopProcessing="true"><match url="^uploads/(.).php$" /><conditions logicalGrouping="MatchAny"><add input="{USER_AGENT}" pattern="SomeRobot" /><add input="{REMOTE_ADDR}" pattern="" /></conditions><action type="AbortRequest" /></rule>
iis环境
location ~ /(a|data|templets|uploads|images)/(.).(php)$ {return 403;}
Nginx环境
这段配置代码一定要放在 location ~ .php(.)$ 的前面才可以生效,配置完后记得重启Nginx生效。
location ~ /(a|data|templets|uploads|images)/(.).(php)$ {return 403;}
宝塔面板在配置文件里面。加在红框上面即可。如下图
给所有站加上的话。请打开下面路径,根据你的PHP版本找到相应的文件。我这里是5.4版本的。
在最上面添加上面代码,然后重启做事。亲测有效。
检测设置成功的方法,新建一个随意内容的php文件放到a|data|templets|uploads任意文件夹,如果访问涌现4.3缺点,解释设置正常。如果显示你刚才设置的内容,刚是失落败。按步骤好好检测一下看看是不是设置缺点。
六、网站上有一个爆网站后台的方法:便是访问/data/mysql_error_trace.inc或者/data/mysqli_error_trace.inc,剖析里面的代码来爆网站后台。可在伪静态配置文件里加入下面代码即可,这是nginx下的配置文件,亲测有效,其他运行环境自行转换location /data {rewrite ^/data\/(.)$ /404.html;}
这样,访问DATA的文件全都会提示404缺点。亲测有效!
我们可以关闭这个天生这个文件
方法:
打开 /include/dedesql.class.php 找到
//保存MySql缺点日志$fp = @fopen($errorTrackFile, 'a');@fwrite($fp, '<'.'?php exit();'."\r\n/\r\n{$savemsg}\r\n/\r\n?".">\r\n");@fclose($fp);
这几行删除就行了,如果你的 data 文件夹里面有 mysql_error_trace.inc 文件,记得删除它。
同理我们还可以设置禁止访问
location /plus {rewrite ^/plus\/(\w+)\.php(.)$ /404.html;}location /templets {rewrite ^/templets/(.)/(.).htm$ /404.html;}location /uploads {rewrite ^/uploads\/(\w+)\.php(.)$ /404.html;}
等目录
location /plus {rewrite ^/plus\/(\w+)\.php(.)$ /404.html;}location /templets {rewrite ^/templets/(.)/(.).htm$ /404.html;}location /uploads {rewrite ^/uploads\/(\w+)\.php(.)$ /404.html;}
