使用过DEDE后台程序的站长朋友都说很容易被挂马,而每个站长都有自己的一点防范经验,从被挂马到轻松防范,这要一个积累过程,所以今天我们就以DEDE程序研究了些方法,以后就不会这么容易被挂马了。
步骤/方法设置篇:
这一步骤我们要做的是把程序不用的文件和功能删除,删除不必要的组件是防hack注射的最佳办法。member会员功能 special专题功能 install安装程序(必删) company企业模块 plusguestbook留言板 这些不用到的都可以一一删除。
密码设置篇:
密码设置当然是要把管理员的密码设置复杂一点了,密码一定要长,而且是字母大小写与数字混合,尽量不要使用系统默认的管理员账号admin,安装完成后要把这个默认账号删除,新建的管理员账号名称也不要太过简单,因为现在的MD5破解网站太利害了,所以密码一定要够复杂。
可删除文件列表篇:
DEDE后台管理目录下的 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 这些文件一般用不上的可以统统删除,这些文件也最影响安全,很多HACK都是通过它来挂马的。
修改配置篇:
为了防止HACK上传木马,在安装完成后阻止上传PHP代码。
空间注意篇:
这里是使用空间的要注意把FTP密码妥善保存,并且密码也要设置复杂,如果是自己的服务器就要做一下服务器权限安全了。
补丁篇:
要经常上织梦官方看看有没有最新的程序安全补丁,有的务必都更新上。做到以上的安全设置方面的修改,我们就没那么容易DEDE被挂马了,当然没有万之策,但此方法可以杜绝大多数入侵情况的的发生。当然最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。