dedecms 是一个非常好的 CMS 程序,现在最新版本是 5.7。经过很多版本的升级和功能添加,DedeCMS 仍然存在很多问题。这里不是说 DedeCMS 不好,相对来说还是很好的,简单容易用,造福了许许多多中小站长。今天我们一起探讨一下 DedeCMS 的安全设置。用 DedeCMS 的朋友一定有遇到过网站被挂马的情况,不是每个页面中被添加很多链接就是 js 中被加入恶意转向。
1. 尽可能的使用 Linux 主机纯 PHP 空间,Windows 主机能运行 ASP 就多一份危险。
2. 安装 DedeCMS 的时候数据库的表前缀最好改一下,不要用 DedeCMS 默认的前缀 dede_,可以改成 lsd_,随便一个无规律的、难猜到的前缀即可。
3. 后台登录一定要开启验证码功能,将默认管理员 admin 账号删除或者改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少 8 位,而且字母与数字混合。
4. 装好程序后务必删除 install 目录!
5. 将 DedeCMS 后台管理默认目录名 dede 改掉,随便改个不好猜的没规律的。
6. 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。能不用会员系统最好不要用,可以直接删除 member 会员目录,后台关闭会员功能。实在要用一定要将“是否允许会员上传非图片附件”设置为否,对用户进行严格限制,因为有很多垃圾注册机一天注册很多用户名。推荐直接删除 member 会员目录,不用会员系统。以下一些是可以删除的目录/功能(如果你用不到的话):
member 会员功能
special 专题功能
company 企业模块
plus/guestbook 留言板
7. 针对 uploads、data、templets 三个目录做执行 php 脚本限制。就算被上传了木马文件到这些文件夹,也是无法运行的,所以这一步很重要一定要设置。创客云主机用户可以直接将下面的代码复制到网站根目录下的.htaccess 文件中即可。
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ – [F]
如果你需要限制其他目录,也可以直接修改或添加规则。
8. 不安装来路不明的模板,或者其他需要上传到网站目录下的文件,要安装先杀毒再安装。
9. 用最新版本的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。
10. 大多数被上传的脚本集中在 plus、data、data/cache 三个目录下,如果遇到被挂马的情况请仔细检查三个目录下最近是否有被上传文件。
迄今为止,我们发现的恶意脚本文件有:
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php 等等
建议使用 DedeCMS 的用户都花一些时间做好这些设置,一般就够用了。对于其他程序,也可以参考这个设置,但不同程序的文件/目录路径会存在区别,可以自行判断,同时我们建议定期备份自己的重要数据。