dedecms程序安全系数低易被挂马,不怕,这有设置方法
经常用织梦的朋友都知道,它的安全系数很低,总是容易被挂马,虽然说不能完完全全解决这个问题,但是我们可以减低被挂马的几率,删除或者修改一些不需要的系统文件。
1.修改默认后台目录
dedecms网站默认的管理后台是/dede,可以换成其他名称,建议使用中文英文数字结合。
2.删除默认管理员账号admin
(1)新建管理员账户:
点击系统->系统用户管理->增加管理员,填写登录账户及密码等信息,用户组选择“超级管理员”(也可以不用删,直接到数据库中改名)
(2)删除默认的admin用户:
点击系统->SQL命令行工具,运行SQL命令:delete from dede_admin where id = 1;
3.删除不必要的目录
(1)安装目录install(安装完之后这个文件夹就没用了);
(2)若你的网站没有不需要用到会员、专题等功能,请删除member、special目录。
4.删除plus中无用的文件
dedecms根目录下的plus文件中的文件,建议保留:img文件夹、,,,,,这几个即可,其余可以删除。
织梦根目录下plus目录及文件相关功能如下表:
| 文件名 | 功能 | 是否删除 |
| guestbook文件夹 | 留言板 | 删除 |
| img文件夹 | 图片 | 可删除 |
| task文件夹 | 计划任务 | 删除 |
| 调用广告 | 保留 | |
| advanced height |
高级搜索 (一般只用到) |
删除 |
| 异步方式调用指定的tag列表 | 删除 | |
| bookfeedback.php bookfeedback_js.php |
图书评论和评论调用文件 (存在注入漏洞风险) |
删除 |
| car.php/posttocar.php carbuyaction.php |
购物车 | 删除 |
| 调用评论(存在安全漏洞) 不用系统自带评论的可以删除 |
删除 | |
| 阅读次数统计 | 保留 | |
| digg_ajax.php digg_frame.php |
文章的顶踩功能 | 删除 |
| 下载次数统计/下载功能 | 删除 | |
| 自定义表单 | 保留 | |
| 文章纠错 | 删除 | |
| feedback.php feedback_ajax.php feedback_js.php |
评论相关功能 (不用站内评论的可以删除) |
删除 |
| flink.php flink_add.php |
友情链接添加 | 删除 |
| free | 自由列表 | 删除 |
| 留言 | 删除 | |
| 动态浏览栏目页 | 保留 | |
| 自定义标签js调用方式 | 删除 | |
| 生成二维码 | 删除 | |
| 信息推荐 | 删除 | |
| rss.php | RSS列表页 | 删除 |
| 搜索 | 保留 | |
| 收藏文章 | 删除 | |
| 动态浏览文章 | 保留 | |
| 投票 | 删除 |
还需要删除一些功能,比如文件管理(这个文件管理器可以轻而易举的上传编写好的程序木马)、SQL命令等都需要删除(其实可以改后缀,下次自己要用的时候再改回来)。
5.删除后台不必要的功能
(1)后台目录下(也就是默认的dede)
a.不需要文件管理器删除以下:
- dede/file_manage_control.php
- dede/file_manage_main.php
- dede/file_manage_
- dede/media_add.php
- dede/media_edit.php
- dede/media_main.php
b.不需要SQL功能删除:
c.不需要后台的模板管理可以删除:
d.不需要后台的模块管理可以删除
- dede/module_main.php
- dede/module_upload.php
- module_make.php
自己看着删吧,你认为能对你网站被挂马增加风险的都可以删掉,需要用的时候再对照上传,用完删了就行,但是一般网站上线只后改完了几乎都不需要再改。
(2)根目录下
不需要tag功能请将根目录下的删除。
以上五个步骤都已经逐一完成之后,那么恭喜大家,你们的织梦网站已经是比较安全的了,一般不容易被入侵了,这篇文章是织梦的基础安全设置,还有官方要求将织梦data迁移,除此之外就是定期打补丁,程序出现bug,官方更新之后,你就需要立马打补丁,这样你的织梦站就很安全了。
