北京网站制作
网站知识 > 技术答疑
瑞恒网络为企业量身打造北京网站建设北京网站制作北京网站设计等一系列专业服务!
dedecms网站制作时,最全的安全方案,修补漏洞大全
时间:2018-04-16  来源:网站建设公司  作者:网站制作公司  点击:
dedecms网站制作时,最全的安全方案,修补漏洞大全
根据本人经验  大家可以参考下 希望对大家有帮助 
 
 
1、首先如果网站没涉及到采集 可以在php.ini 做如下操作 
 
ignore_user_abort = On  
disable_functions =  
exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,fsockopen,pfsockopen,gzinflate,eval 
allow_url_fopen = Off 
 
 
2、apache开启htaccess支持  在网站根目录下  
 
添加 .htaccess 
RewriteEngine on 
RewriteBase / 
RewriteCond % !^$ 
RewriteRule uploads/(.*).(php)$ [F] 
RewriteRule data/(.*).(php)$  [F] 
RewriteRule templets/(.*).(php)$ [F] 
 
 
 
3、针对dedecms目录的安全处理  进入dedecms网站根目录 
chmod 511 plus  plus/task include include/inc templets 
 
 
然后 分别进入  plus 和 include  templets 目录  
 
 
 
目录的权限 一律是511 
文件的权限 一律是604 
find . -type d  -exec chmod 511 {} \; 
find . -type f -exec chmod 444 {} \; 
 
 
4、最有用iptables 开启常用端口  22 80 21 20 53 等  封掉 未知端口 
 
 
5、去dedecms打最新的补丁 
 
 
6、DEDE管理目录下的 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除) 。
 
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。
 
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除

8、
删除:guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;
删除:task文件夹和task.php【计划任务控制文件】
删除:ad_js.php【广告】
删除:bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】
删除:bshare.php【分享到插件】
删除:car.php、posttocar.php和carbuyaction.php【购物车】
删除:comments_frame.php【调用评论,存在安全漏洞】
删除:digg_ajax.php和digg_frame.php【顶踩】
删除:download.php和disdls.php【下载和次数统计】
删除:erraddsave.php【纠错】
删除:feedback.php、feedback_ajax.php、feedback_js.php【评论】
删除:guestbook.php【留言】
删除:stow.php【内容收藏】
删除:vote.php【投票】
删除:member目录【会员目录,一般企业站不需要】
删除:special【专题功能】
删除:company【企业模块】
 
安全上的设置dede目录下需要删除的文件及原因。
 删除:以file_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】
 删除:soft_add.php、soft_config.php、soft_edit.php【软件下载类,存在安全隐患】
 删除:mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.php【邮 件发送】
 删除:media_add.php、media_edit.php、media_main.php【视频控制文件】
 删除:以story_xxx.php开头的系列文件【小说功能】
 删除:ad_add.php、ad_edit.php、ad_main.php【广告添加部分】
 删除:cards_make.php、cards_manage.php、cards_type.php【点卡管理功能文件】
 删除:以co_xx  .php开通的文件【采集控制文件】
 删除:erraddsave.php【纠错管理】
 删除:feedback_edit.php、feedback_main.php【评论管理】
 删除:以group_xx .php开头的系列php文件【圈子功能】
 删除:plus_bshare.php【分享到管理】
 删除:以shops_xx .php开头的系列文件【商城系统】
 删除:spec_add.php、spec_edit.php【专题管理】
 删除:以templets_xx .php开头的系列文件【模板管理】
 删除:vote_add.php、vote_edit.php、vote_getcode.php【投票模块】
 

9、文件作用讲解

 /data数据目录
 
 admin 系统后台常规配置,例如作者、快速导航、来源这些内容
  backupdata 数据库备份存放目录
  cache 系统缓存
  enums 联动类别生成的缓存和js文件
  js 栏目js调用生成的js文件
  mail 未明确
  mark 图片水印设置目录
  module 系统后台那些模块相关文件
  payment 在线支付的接口
  rss 生成RSSmap存放的文件目录
  safe 安全提问
  sessions 系统sessions存放目录
  tag 标签相关
  textdata 文本数据,系统后台保存为文本数据存放目录
  tplcache 模板缓存目录,这个缓存一般是那些动态页
  uploadtmp 未确定
  vote 默认投票文件
  ziptmp 压缩缓存目录(织梦新手网提供)
  common.inc.php 数据库连接信息
  余下文件打开即可判定

/dede后台目录

  css 后台界面样式文件
  images 后台界面图片文件
  inc 部分后台菜单名称配置
  js 后台JS效果文件
  templets 系统后台的模板存放目录
  下属各模版文件(以下代表的是文件开头前缀部分)
   ad 广告管理模块
   album 图片模型相关发布更改
   apiUChome 整合文件
   archives 通用文档相关发布更改
   article 文章模型相关发布更改
   ask 问答模块
   cards 点卡管理
   catalog 栏目相关管理
   co 采集相关
   diy 自定义表单
   file 文件管理器
   freelist 自由列表管理
   friendlink 友情链接管理(织梦新手网提供)
   group 圈子模块
   index2 后台头部页面
   index_menu2 左侧总菜单
   login 登录界面
   mail 邮件功能
   makehtml 生成更新
   media 上传数据菜单
   member 会员管理
   module 模块制作
   images 目录基本可以删除


 

/include目录
 
config_base.php 环境定义文件。用于检测系统环境,定义工作目录,保存数据库链接信息,引入常用函数等,建议不要修改。
config_hand.php 系统配置文件。定义系统常用的配置信息定义,可从后台管理直接生成该文件。
config_passport.php 通行证文件
config_rglobals.php 检测系统外部变量
config_rglobals_magic.php 同上
inc_archives_view.php 用于浏览文档或对文档生成HTML
 inc_arclist_view.php 用于浏览频道列表或对内容列表生成HTML
 inc_arcmember_view.php 用于浏览会员发布的文档
inc_arcpart_view.php 用于解析和创建全局性质的模板,如频道封面,主页,单个页面等
inc_arcsearch_view.php 用于文档搜索
inc_arcspec_view.php 用于浏览所有专题列表或对专题列表生成HTML
 inc_channel_unit.php 用户解析特定频道的附加数据结构信息
inc_channel_unit_functions.php 系统共用函数集合
inc_downclass.php 防采集随机字符串函数
inc_freelist_view.php 用于对特定内容列表生成HTML
 inc_functions.php 可供用户使用的函数集合
inc_imgbt.php GetTypeidSelMember
 inc_memberlogin.php 用于用户登录及获得会员状态
inc_photograph.php 用于处理系统中的图片,例如水印,缩略图等
inc_photowatermark_config.php 图片处理参数定义
inc_rss_view.php 用于浏览频道RSS或对RSS生成静态文件
inc_separate_functions.php SpGetArcList函数,用于获得文档列表
inc_sitemap.php 用于生成网站地图
inc_type_tree.php 用于选择栏目的目录树
inc_type_tree_member.php 同上,会员使用
inc_typelink.php 用于显示文章的位置和栏目位置等
inc_typeunit_admin.php 用于频道管理时的一些复杂操作,主要用于后台
inc_typeunit_menu.php 同上
inc_userlogin.php 用于管理员登录
inc_vote.php 用于管理投票
jump.php 用于超链接跳转
pub_charset.php 共用字符处理函数,GB/UTF-8/Unicode/BIG5等互换
pub_collection.php 用于采集
pub_collection_functions.php 采集用函数
pub_datalist.php 后台管理用数据列表
pub_datalist_dm.php 同上,不使用模板
pub_db_mysql.php 用于操作数据库
pub_dedehtml2.php 用于采集中的HTML解析
pub_dedehtml.php HTML解析器
pub_dedetag.php 用于dede模板标签解析
pub_httpdown.php 用于下载http中的资源
pub_oxwindow.php 后台程序扩展
pub_splitword_www.php 织梦分词算法
validateimg.php 验证码
vdimgck.php 验证码
 
/inc目录
 
inc_fun_funAdmin.php 获取拼音码等函数
inc_fun_funString.php html代码处理等函数
inc_fun_SpGetArcList.php 获取文档列表SpGetArcList
 
/install安装目录

/member会员中心目录
 
 plus 系统插件存放目录
  guestbook 留言板插件
  ad_js.php 广告插件
  advancedsearch.php 搜索
  bookfeedback.php 评论相关
  bookfeedback_js.php 评论相关
  bshare.php 分享
  car.php 购物车相关
  carbuyaction.php 购物车相关
  comments_frame.php 评论相关
  count.php 浏览次数等计数器
  digg_ajax.php 顶功能相关
  digg_frame.php 顶功能相关
  disdls.php 下载次数统计
  diy 自定义表单
  download.php 下载模块相关
  erraddsave.php 挑错
  feedback.php 评论相关
  feedback_ajax.php 评论相关
  feedback_js.php 评论相关
  flink.php 友情链接
  flink_add.php 友情链接添加
  freelist.php 自由列表
  guestbook.php 留言板(织梦新手网提供)
  posttocar.php 购物车相关
  recommend.php 推荐文章给好友
  stow.php 收藏功能
  task.php 计划任务功能
  view.php 文章阅读权限功能
  vote.php 投票功能

/special专题存放目录

/templets织梦模板存放目录
 
/templets/default默认模板目录
 
article_article.htm 普通文章页面模板
article_default.htm 一般文档页面模板
article_flash.htm flash页面模板
article_image.htm 图集页面模板
article_soft.htm 软件页面模板
article_spec.htm 专题页面模板
index.htm 网站首页模板
index_article.htm 文章频道封面模板
index_article_webart1.htm
 index_article_webart2.htm
 index_article_webart.htm
 index_default.htm 一般文档封面模板
index_flash.htm flash频道封面模板
index_image.htm 图集频道封面模板
index_soft.htm 软件频道封面模板
list_article.htm 文章列表模板
list_default.htm 一般文档列表目录模板
list_flash.htm flash文档列表模板
list_free.htm 自由列表模板
list_image.htm 图集列表模板
list_soft.htm 软件列表模板
list_spec.htm 专题列表模板
 
/templets/plus模板目录
 
download_links_templet.htm 下载链接模板
feedback_confirm.htm 评论确认模板
feedback_templet.htm 用户评论模板
feedback_templet_js.htm
 flink-add.htm 友情链接添加模板
flink-list.htm 友情链接列表模板
guestbook.htm 留言本模板
heightsearch.htm 高级搜索模板
js.htm
 recommend.htm 推荐好友模板
rss.htm RSS的XML模板
rssmap.htm RSS订阅文件
showphoto.htm 图片显示模板
sitemap.htm 网站地图模板
view_msg.htm 会员提示信息模板
vote.htm 投票结果显示模板
 
/uploads文件上传存放目录


dede安全设置
返回关闭本页
上一篇:息壤香港空间关闭,操作方法解决,息壤香港空间不能访问,打不开,解决   下一篇:dedecms数据库表说明大全,dede模板建站
Copyright © 2006-2013 北京瑞恒天龙科技有限公司 All Rights Reserved  |  北京网站建设知名服务商  |  北京网站制作 | 京ICP备11004170号   京公网安备110107000463号
地址:北京市海淀区永定路长银大厦B座4层4B09  非工作时间:15810379666  服务热线:400-600-6204 座机:010-89941606 转801/802/803/804  版权所有 盗版必究!
  
在线咨询
关闭
电话咨询
网站制作电话
400-600-6204