网站安详都是处事器设置、文件权限节制和网站措施三者的彼此共同,假如要对DedeCms网站措施的修改来提高安详性。"可执行的文件不答允被修改,可写文件不答允被会见"这是网站权限节制的基础原则,网站措施在"可写文件不答允被会见"方面可做很多事情。就拿DedeCMS来说,我们可以在如下几个方法做好掩护:
1、更名根目次下的data目次,可能移动到网站目次外面
data目次即是最藏污纳垢的处所,系统常常要往这个目次写数据,这个目次下的任何一个文件又都可以通过URL会见到,所以要让欣赏器会见不到内里的文件,就需要将此目次更名,可能移动到网站的目次外面去。这些,纵然别人通过裂痕往文件里写进了一句话木马,他也找不到此木马地址的文件路径,无法继承展开进攻。因为DedeCMS措施的不公道,导致更名data目次行动会较量大,详细做法如下:
a.将果真的内容迁移到pub目次(可能其它自界说目次)下,如rss、sitemap、js、enum等,此步调需要移动文件夹,并修改这些文件的生成路径
b.修改引用措施目次
搜索替换"DEDEDATA."/data/"为"DEDEDATA."/",或许替换五六十个处所;
搜索替换"DEDEDATA.'/data/"为"DEDEDATA.'/",或许替换五六十个处所;
搜索"/data/",按详细环境,修改路径雷同成为:"$DEDEDATA."/"(留意include目次和靠山打点目次都有data文件夹,不需要修改);
c.修改data文件夹名称,并修改include/common.inc.php文件里的"DEDEDATA"的值,再在靠山系统配置》参数配置里修改模板缓存目次,即可修改完成。今后也可以凭据此步调来变动data文件夹名称。
2、更名"dede"打点目次,并加固
假如把靠山埋没好了,纵然别人得到了你的打点员账号、暗码,他也无从登录。
a.在/dede/config.php里,找到如下行:
//检讨用户登录状态$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
{
header("location:login.php?gotopage=".urlencode($dedeNowurl));
}
把上面代码,改为:
//检讨用户登录状态$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
{
//header("location:login.php?gotopage=".urlencode($dedeNowurl));
header("HTTP/1.0 404 Not Found");
exit();
}
b.修改/dede/login.php的文件名称,并对应的修改/dede/templets/login.htm里的表单提交地点;
c.修改/dede/的目次名称;
这样,别人在没有登录前,只能会见/dede/login.php更名后的地点,会见其他地点均会得到404错误。
虽然,做了安详加固后,今后DedeCMS的进级就会有一些贫苦。
DedeCms下载
织梦CMS(DedeCMS) v5.7 SP1 GBK build20150618下载
