DedeCms網站防掛馬注意點

摘要：網頁木立刻次我也說了是一個比較讓人頭疼的問題，網站系統的程序不免會有這樣那樣的漏洞，這些漏洞連程序開發者都不必定知道，可是，萬一漏洞被一些心懷不軌的人所利用，就會形成網頁掛馬等一系列安全問題，因此作好網站的安全工做是重中之重 下面介紹下DedeCms網站防掛馬一些注意點和一些防範措施 一、更名根目錄下的data目錄，或者移動到網站目錄外面 data目錄即是最藏污納垢的地方，系統常常要往這個目錄寫數據，這個目錄下的任何一個文件又均可以經過URL訪問到，因此要讓瀏覽器訪問不到裏面的文件，就須要將此目錄更名，或者移動到網站的目錄外面去。這些，即便別人經過漏洞往文件裏寫進了一句話木馬，他也找不到此木馬所在的文件路徑，沒法繼續展開攻擊。由於DedeCMS程序的不合理，致使更名data目錄動做會比較大，具體作法以下： a.將公開的內容遷移到pub目錄（或者其它自定義目錄）下，如rss、sitemap、js、enum等，此步驟須要移動文件夾，並修改這些文件的生成路徑 b.修改引用程序目錄 搜索替換"DEDEDATA."/data/"爲"DEDEDATA."/",大概替換五六十個地方； 搜索替換"DEDEDATA.'/data/"爲"DEDEDATA.'/",大概替換五六十個地方； 搜索"/data/",按具體狀況，修改路徑相似成爲："$DEDEDATA."/"（注意include目錄和後臺管理目錄都有data文件夾，不須要修改）； c.修改data文件夾名稱，並修改include/common.inc.php文件裏的"DEDEDATA"的值，再在後臺系統設置》參數設置裏修改模板緩存目錄，便可修改完成。之後也能夠按照此步驟來更改data文件夾名稱。 二、更名"dede"管理目錄，並加固 若是把後臺隱藏好了，即便別人得到了你的管理員帳號、密碼，他也無從登陸。 a.在/dede/config.php裏，找到以下行： 如下爲引用的內容： 1//檢驗用戶登陸狀態 2$cuserLogin=newuserLogin（）； 3if（$cuserLogin->getUserID（）==-1） 4{ 5header（"location:login.php?gotopage=".urlencode（$dedeNowurl））； 6} 把上面代碼，改成： 如下爲引用的內容： 1//檢驗用戶登陸狀態 2$cuserLogin=newuserLogin（）； 3if（$cuserLogin->getUserID（）==-1） 4{ 5//header（"location:login.php?gotopage=".urlencode（$dedeNowurl））； 6header（"HTTP/1.0404NotFound"）； 7exit（）； 8} b.修改/dede/login.php的文件名稱，並對應的修改/dede/templets/login.htm裏的表單提交地址； c.修改/dede/的目錄名稱； 這樣，別人在沒有登陸前，只能訪問/dede/login.php更名後的地址，訪問其餘地址均會得到404錯誤。 固然，作了安全加固後，之後DedeCMS的升級就會有一些麻煩。 我司有智能建站、定製網站、雲享主機、主機租用、企業郵箱等，歡迎前來諮詢，快快行動喲！QQ:800003649