• 售前

  • 售后

热门帖子
入门百科

防止Dedecms被挂马的安全问题分析

[复制链接]
我爱萨其马虞co 显示全部楼层 发表于 2021-8-19 17:52:00 |阅读模式 打印 上一主题 下一主题
可是令许多站长头疼的是,本身用dedecms建的站常常被人莫名其妙的挂马,造成满页黑链,令人气愤;更为严重的是,还有可能被搜索引擎惩罚,于是辛辛劳苦创建的站,眼睁睁的看它权重降落,收录镌汰,甚至被K。其实,我是草根在被入侵几站与主动入侵他站之后,得出经验:对于dedecms挂马,我们完全可以防范于未然。今天,笔者就本身的领会从一下几点和广大dede爱好者们谈谈怎样防止dedecms被挂马:1 服务器安全 这是最根本的防范。如果你是独立主机,相信在搭建服务器时就思量到了这一点。服务器上一定要安装最新版本的防毒杀毒软件,实时升级更新,并设置好服务器的安全权限,让木马找不到入侵的大门。至于怎样设置,网上随便一搜一大堆;如果你是租用的虚拟主机,那就要擦亮你的眼睛仔细甄别了。现在的一些IDC代理商都是只认钱不认人的,选择好的空间商,会给你一个更安全的建站空间。即使出了什么问题,也能第一时间得到办理。要知道,站点出现的有些问题是不能拖得,特殊是被恶意挂马,一步留意可能就被K站了。我听说A5的主机就不错,有时机试一试。
2 windows主机下dedecms安全设置 下载并安装了步调之后,起首就是要设置目录权限,如许即使木马突破服务器的限定,我们也让它找不到进一步粉碎的路。如果你是windows主机,目录权限可以如许设置:(1) data、templets、uploads、a目录, 设置可读写,不可实行的权限;(2) 不须要专题的,发起删除 special 目录, 须要可以在天生HTML后,删除 special/index.php 然后把这目录设置为可读写,不可实行的权限;(3) include、member、plus、背景管理目录 设置为可实行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样云云设置)。此外,发起把install 目录删除并不要对网站直接利用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:SELECT, INSERT , UPDATE , DELETE,CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES 。由于DEDE并没有任何地方利用存储过程,因此务必禁用 FILE、EXECUTE 等实行存储过程或文件操纵的权限。
3 步调更新补丁 设置完目录权限之后,就让网站背景,先别忙着添加栏目和文档,看看系统主页有没有升级更新的补丁提示,如果有就别夷由了,赶紧打上吧。如果你用的是较老版本的步调而补丁提示是最新版本的,那么发起照旧重新安装最新版本的步调吧。现在dede已经出了V5.6了,相比较之前的版本,安全性更有保障。友情提示:升级步调之前别忘记了重要数据的备份,包括图片、模板等。
4 背景目录更名 dede安装后默认的背景目录是dede,如许很轻易被人猜到背景地点,极不安全。把它改成更复杂的名字吧,最好不要用网站名称一类轻易猜到的。
5 FTP密码复杂化 如果你的FTP密码很简单,就轻易被一些FTP弱口令软件猜中。因此尽量将FTP密码设置的复杂一些,最好字母+数字组合,10位以上,让那些破解步调当机吧。
6 末了一点,数据备份。其实即使我们做到了严格的防范,也不能完全防止被挂马,正所谓道高一尺魔高一丈吧!所以你的网站数据一定要常常备份。如许就算是网站被黑,也能通过重装步调还原数据,将丧失低落到最低,究竟数据是站长们最宝贵的财富。
好了,以上6点全部是本人在实践过程中得到的经验总结,下次再写一篇关于dedecms挂马后的处理方法。

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作