织梦安全设置教程文字详情版

织梦程序这么好用,也是国内被使用最多的一套开源cms程序,经常用织梦的朋友都知道,织梦属于开源程序,源代码大家都知道,所以想搞一个站也是很简单的,但是没有哪个程序是绝对安全的,主要还是靠后期的维护,那么接下来就和深山一起来看看织梦的安全设置如何做?

1.可以删除不必要的目录

在安装完织梦之后,我们可以立即删除不必要、不需要的文件;安装目录install(安装完之后这个文件夹就没用了),立即删除;如果不需要使用会员、专题(90%的用户都用不到),那么请立即删除member、special目录。这几个文件都是位于网站根目录,直接删除即可。

织梦安全设置教程

2.删除不需要的文件

网站根目录下面的plus文件中的文件,建议保留:img文件夹、ad_js.php,count.php,diy.php,list.php,search.php,view.php这几个即可,其余可以删除。

根目录下面的plus目录及文件相关功能如下表:

文件名 功能 是否删除
guestbook文件夹 留言板 删除
img文件夹 图片 可删除
task文件夹 计划任务 删除
ad_js.php 调用广告,如果你的广告不是通过后台“广告管理”设置的,可以删除该文件 保留
advancedsearch.php、heightsearch.php 高级搜索,一般只用到search.php 删除
arcmulti.php 异步方式调用指定的tag列表,用不到 删除
bookfeedback.php、bookfeedback_js.php 图书评论和评论调用文件,存在注入漏洞 删除
car.php、posttocar.php、carbuyaction.php 购物车 删除
comments_frame.php 调用评论,存在安全漏洞(现在一般都用第三方评论,不再用织梦自带的评论) 删除
count.php 阅读次数统计 保留
digg_ajax.php、digg_frame.php 文章的顶踩功能 删除
disdls.php、download.php 下载次数统计、下载功能 删除
diy.php 自定义表单 保留
erraddsave.php 文章纠错 删除
feedback.php、feedback_ajax.php、feedback_js.php 评论相关功能 删除
flink.php、flink_add.php 友情链接、友情链接添加(建议删除,否则容易暴露模板路径) 删除
freelist.php 自由列表 删除
guestbook.php 留言 删除
list.php 动态浏览栏目页 保留
mytag_js.php 自定义标签js调用方式(如果没用到后台的自定义宏标记,请删除 删除
qrcode.php 生成二维码 删除
recommend.php 信息推荐 删除
rss.php RSS列表页 删除
search.php 搜索 保留
stow.php 收藏文章 删除
view.php 动态浏览文章 保留
vote.php 投票 删除


PS:若移动端无法查看完整表格的请转至PC端阅读本文!

3 修改默认后台相关

默认的管理后台通过域名/dede访问,强烈建议修改为其他名称,建议使用中文英文数字结合,也可以再加上符号,总之越难记住也好。

4.删除默认管理员账号admin

(1)新建管理员账户:

点击系统->系统用户管理->增加管理员,填写登录账户及密码等信息,用户组选择“超级管理员”

(2)删除默认的admin用户:

点击系统->SQL命令行工具,运行SQL命令:delete from dede_admin where id = 1;

5.删除不必要的功能 

这里主要是针对dede目录的一些安全措施,dede也就是织梦的后台,改名是肯定的,其次为了不被小人利用,比如文件管理功能(这个文件管理器可以轻而易举的上传编写好的程序木马)、SQL命令等都需要删除(其实可以改后缀,不必要删除)。如下:

(1)DEDE管理目录下的

file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php


以上几个php是织梦后台的文件管理功能,可以删掉或者改名或者改后缀。

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。

(2)根目录下

不需要tag功能请将根目录下的tag.php删除。

不需要顶客请将根目录下的digg.php与diggindex.php删除!

以上五个步骤都已经逐一完成之后,那么恭喜大家,你们的织梦网站已经是比较安全的了,一般不容易被入侵了,这篇文章是织梦的基础安全设置,还有官方要求将织梦data迁移,除此之外就是定期打补丁,程序出现bug,官方更新之后,你就需要立马打补丁,这样你的织梦站就很安全了。




版权所有,未经允许禁止转载,深山QQ: 78645714



评论