古风小说,听中国有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

用DedeCms搭建的網(wǎng)站應(yīng)該如何防掛馬

為什么PHP程序經(jīng)常出漏洞

成都創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比五峰網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式五峰網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋五峰地區(qū)。費(fèi)用合理售后完善，10余年實(shí)體公司更值得信賴。

其實(shí)是由PHP程序本身決定的。PHP可復(fù)用性低，導(dǎo)致程序結(jié)構(gòu)錯(cuò)綜復(fù)雜，到處是冗余代碼，這樣不僅利于漏洞的產(chǎn)生，還影響漏洞的修得；PHP程序入門簡(jiǎn)單且普遍開源，導(dǎo)致很多人都可直接閱讀代碼，搜尋漏洞；這樣便有源源不斷的漏洞被發(fā)現(xiàn)、被修復(fù)、被發(fā)現(xiàn)……。

而當(dāng)前流行的PHP系統(tǒng)習(xí)慣用以文件形式做為緩存，這樣就需要開放文件的寫權(quán)限，這無疑成為PHP系統(tǒng)的軟肋。目前針對(duì)PHP系統(tǒng)的攻擊方式，除了已經(jīng)很少出現(xiàn)的“注入”攻擊外，大部分攻擊都是通過系統(tǒng)的某個(gè)漏洞，向可寫文件里插入一句話木馬，以此方式獲得shell。

網(wǎng)站安全從來都是服務(wù)器配置、文件權(quán)限控制和網(wǎng)站程序三者的相互配合，今天主要看看如果對(duì)DedeCms網(wǎng)站程序的改進(jìn)來提高安全性?！翱蓤?zhí)行的文件不允許被修改，可寫文件不允許被訪問”這是網(wǎng)站權(quán)限控制的根本原則，網(wǎng)站程序在“可寫文件不允許被訪問”方面可做許多工作。就拿DedeCMS來說，我們可以在如下幾個(gè)方式做好保護(hù)。

1、改名根目錄下的data目錄，或者移動(dòng)到網(wǎng)站目錄外面data目錄便是最藏污納垢的地方，系統(tǒng)經(jīng)常要往這個(gè)目錄寫數(shù)據(jù)，這個(gè)目錄下的任何一個(gè)文件又都可以通過URL訪問到，所以要讓瀏覽器訪問不到里面的文件，就需要將此目錄改名，或者移動(dòng)到網(wǎng)站的目錄外面去。這些，即使別人通過漏洞往文件里寫進(jìn)了一句話木馬，他也找不到此木馬所在的文件路徑，無法繼續(xù)展開攻擊。因?yàn)镈edeCMS程序的不合理，導(dǎo)致改名data目錄動(dòng)作會(huì)比較大，具體做法如下：

a. 將公開的內(nèi)容遷移到pub目錄（或者其它自定義目錄）下，如rss、sitemap、js、enum等，此步驟需要移動(dòng)文件夾，并修改這些文件的生成路徑

b. 修改引用程序目錄搜索替換“DEDEDATA.“/data/” 為 “DEDEDATA.”/”，大概替換五六十個(gè)地方；搜索替換“DEDEDATA.‘/data/” 為 “DEDEDATA.’/”，大概替換五六十個(gè)地方；搜索“/data/”，按具體情況，修改路徑類似成為：“$DEDEDATA.“/”（注意include目錄和后臺(tái)管理目錄都有data文件夾，不需要修改）；

c. 修改data文件夾名稱，并修改include/common.inc.php文件里的“DEDEDATA”的值，再在后臺(tái)系統(tǒng)設(shè)置》參數(shù)設(shè)置里修改模板緩存目錄，即可修改完成。以后也可以按照此步驟來更改data文件夾名稱。

2、改名“dede”管理目錄，并加固如果把后臺(tái)隱藏好了，即使別人獲得了你的管理員賬號(hào)、密碼，他也無從登錄。

a.在/dede/config.php里，找到如下行：

以下為引用的內(nèi)容：

 
 
 
  
  
  //檢驗(yàn)用戶登錄狀態(tài)
  
  
  $cuserLogin = new userLogin();3 if($cuserLogin->getUserID()==-1)4 {5     header("location:login.php?gotopage=".urlencode($dedeNowurl));6 }

把上面代碼，改為：

以下為引用的內(nèi)容：

 
 
 
  
  
  //檢驗(yàn)用戶登錄狀態(tài) 
  
  
  
  
  
   $cuserLogin = new userLogin(); 
  
  
  
  
  
   if($cuserLogin->getUserID()==-1) 
  
  
  
  
  
  { 
  
  
  
  
  
  //header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
  
  
  
  
  
  header("HTTP/1.0 404 Not Found"); 
  
  
  
  
  
  exit(); 
  
  
  
  
  
   }

b.修改/dede/login.php的文件名稱，并對(duì)應(yīng)的修改/dede/templets/login.htm里的表單提交地址；c.修改/dede/的目錄名稱；這樣，別人在沒有登錄前，只能訪問/dede/login.php改名后的地址，訪問其他地址均會(huì)獲得404錯(cuò)誤。

安全加固后，以后DedeCMS的升級(jí)就會(huì)有一些麻煩。

網(wǎng)頁標(biāo)題：用DedeCms搭建的網(wǎng)站應(yīng)該如何防掛馬
本文網(wǎng)址：http://fisionsoft.com.cn/article/cdsihji.html

新聞中心

其他資訊