很多网站站长使用织梦CMS程序做网站,在10个人当中就有9个人都说DedeCMS织梦程序织梦漏洞多,网站被挂马中毒了,或者首页被挟持、被串改、被挂马、被入侵之后都怪织梦CMS程序?根本不看看到底是不是网站自身的防护措施做得不够好、不到位之类的。这是一个很大的误区,其他别人认为很安全的程序,比如帝国CMS,如果你的不做任何安全防护,也是很容易被挂马中毒的。
使用DedeCMS织梦程序网站被黑被挂马的原因分析如何避免网站被黑,使用织梦程序也能安全、稳定、持续的一直把网站做下去。
虽然织梦程序漏洞很多,那全部都是因为织梦程序功能强大,如果使用程序默认的全部功能和不删除多余的php文件的话,网站上线不到一个星期就有可能被挂马。你知道别人为什么只挂马首页吗?因为每个网站的首页权重最高,访问网站首页的人最多,不管是有权重还是没有权重的,只要是网站的首页,一般来说只要收录就会有一定的排名。所以,大多数挂马的小朋友都是使用软件扫描网站漏洞,然后上传js或者图片木马挂马、挟持网站首页快照。
分析织梦漏洞扫描器的原理。说到织梦漏洞扫描器的原理:
1、扫描网站域名或者服务器ip地址。
2、扫描是否是使用织梦程序网站。扫描网站根目录是否存在data、dede、include、member、plus、a、templets、uploads、只要是存在这些文件夹目录的就能确认是织梦程序网站。
3、扫描data、dede、include、member、plus、目录下的php文件漏洞,比如plus织梦插件目录,广告插件php文件DedeCMS-V5.7-UTF8-SP2/plus/ad_js.php就存在漏洞。还有织梦留言板guestbook.php文件也是。在网上查找“织梦漏洞”就知道哪些文件有漏洞啦。·
4、扫描织梦表dede_前缀,所以用织梦程序,dede表前缀也要改,防止SQL漏洞。虽然表前缀看重没有什么作用,但是,如果网站表前缀暴露和网站目录暴露都将是网站的漏洞。
5、对于真正的“黑客”真的是很少,而且,网站权重不高的网站黑客根本不理会,所以,低权重、新站就被挟持、被串改、被挂马、被入侵的,100%敢确定是利用软件、或者织梦漏洞扫描器扫描网站漏洞的,具体是什么软件我也不清楚,但是我能告诉你的,就是如何使用织梦CMS安全又不被扫描、入侵。
分析完织梦漏洞扫描器以后,我们就应该做好网站的安全防护措施,避免自己的网站被别人扫描,避免别人拿自己的网站当做反面教程来练手,为此,个人网希望更多使用的织梦CMS程序的网站能一直安全的做下去,做好、做大、做强、从权0-权9。这篇织梦程序防黑教程送给所有曾经诋毁过织梦程序的朋友,其实,网站的安全不在程序、而在于站长的安全防范意识,不管是使用什么程序做网站、只要是开源的都有漏洞、只是找漏洞的人多不多而已。
使用DedeCMS织梦程序降低网站被黑的防护措施和防御方法。经过分析和总结出来以后,做好以下几条可以有效的防御和降低织梦CMS程序网站被黑几率的防御方法;
第一、删除多余的php文件、使用别人的模板、使用自己的内核。
推荐使用修改的织梦CMS或者自己修改也可以。
第二、改名所有的织梦默认文件名
最主要的是data、dede、include、member、plus等目录。
第三、使用linux系统和使用.htaccess伪静态文件
使用.htaccess文件禁止指定目录运行php文件,比如;a、templets、uploads、images目录等
第四、使用宝塔控制面板拒绝使用phpMyAdmin管理数据库
很多人使用织梦程序都说是织梦的漏洞,为什么不说说是宝塔控制面板phpMyAdmin也存在漏洞呢?其实宝塔控制面板的漏洞比织梦CMS程序的漏洞还多,因为很多人做网站都太多人依赖于宝塔。
第五、不管是使用宝塔控制面板还是phpStudy,只使用php运行环境而不使用phpMyAdmin功能
第六、删除网站根目录下的phpMyAdmin数据库管理
或者可以改名phpMyAdmin目录以后还是可以使用phpMyAdmin管理数据库的,但是在未改名之前,phpMyAdmin就是一个隐患,不懂的不会的不知道怎么破解,但是遇到懂的会的你的网站使用phpMyAdmin就会遭殃。所以强烈推荐不使用phpMyAdmin功能。
第七、做好程序备份
网站上线前,所有程序打包,打包好以后上传服务器或者空间解压安装织梦程序。安装完成以后,记得。删除服务器端install安装文件和改名dede后台目录,最好使用类似(XF-Y+2FTp!=666.S4)目录名称
线上制作发布文章操作、线下修改网站程序和实验新功能(简单的说就是织梦二次开发都在本地测试),网站模板更改也是在本地测试。