织梦cms相对来说还是比较大略易用的。至于织梦cms的安全性如何,是否存在漏洞,这个问题来讲是不可避免的。而且在织梦的安全性问题上,一贯都是大家诟病的,找到办理办法才是根本。
织梦cms安全性设置:
1、安装dedecms时,数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。
2、织梦cms后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,繁芜点的账号,管理员密码一定要长,至少8位,而且字母与数字稠浊。
3、装好程序后务必删除install目录!
!
!
4、用不到的功能一概关闭,比如会员、评论等功能,如果没有必要通通在后台关闭。
5、将dedecms后台管理默认目录名dede改掉,改繁芜一点的目录。
6、以下一些是可以删除的目录/功能(如果你用不到的话):member(会员功能)、special(专题功能)、company(企业模块)、plus\guestbook(留言板)。
迄今为止,我们创造的恶意脚本文件有:plus/ac.php、plus/config_s.php、plus/config_bak.php、 plus/diy.php、plus/ii.php、plus/lndex.php、data/cache/t.php、data/cache /x.php、data/config.php、data/cache/config_user.php、data/config_func.php等 等;
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检讨三个目录下最近是否有被上传文件。
7、尽可能的利用linux,相对付windows环境做事器,Linux安全性大大的增加。
8、后台登录管理不要用admin为用户名 可以改成其他的。
9、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。
10、针对uploads、data、templets 三个目录做实行php脚本限定。
11、不安装来路不明的模板,或者其他须要上传到FTP下的文件,要安装先杀毒再安装。
12、用最新版的织梦cms程序,就算不是最新也一定要时候关注官方发布的补丁及时打上补丁。
13、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否许可会员上传非图片附件 设置为否 对用户进行严格限定由于有很多垃圾注册机一天注册很多用户名。
虚拟主机/空间配置目录实行php脚本限定方法: Apache环境和nginx环境的两种设置方法
对uploads、data、templets 三个目录做实行php脚本限定,就算被上传了木马文件到这些文件夹,也是无法运行的。以是这一步很主要,一定要设置。
在配置前须要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中利用rewrite来达到禁止指定脚本的运行效果。
1、Apache环境规则内容如下:Apache实行php脚本限定 把这些规则添加到.htaccess文件中
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.).(php)$ – [F] RewriteRule data/(.).(php)$ – [F] RewriteRule templets/(.).(php)$ – [F]
最主要的一点,便是定时做好备份,定时检讨网站,检讨做事器。
