關(guān)于dedecms的安全，安全加固設(shè)置要做好

時(shí)間：2020-05-10 20:45:01

關(guān)鍵字： DEDECMS WEB服務(wù)器 PHP Windows

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] （文章來(lái)源：陸柏?zé)纾? 記得是2013左右周鴻祎在一次什么大會(huì)上說(shuō)了這樣一句話(huà)，大概意思就是：dedecms是對(duì)站長(zhǎng)不負(fù)責(zé)的程序，程序漏洞官方?jīng)]有及時(shí)修復(fù)導(dǎo)致很多的網(wǎng)站被掛馬。正因?yàn)槿绱耍?

（文章來(lái)源：陸柏?zé)纾?/p>

記得是2013左右周鴻祎在一次什么大會(huì)上說(shuō)了這樣一句話(huà)，大概意思就是：dedecms是對(duì)站長(zhǎng)不負(fù)責(zé)的程序，程序漏洞官方?jīng)]有及時(shí)修復(fù)導(dǎo)致很多的網(wǎng)站被掛馬。正因?yàn)槿绱?，關(guān)于dede安全問(wèn)題就越傳越離奇，一提到織夢(mèng)程序，大家首先想到的就是這個(gè)網(wǎng)站系統(tǒng)不安全，而實(shí)際上并沒(méi)有那么不安全！

我遇到過(guò)的dedecms被掛馬的幾乎都存在同樣的安全設(shè)置問(wèn)題，都是使用windows server 2003或2008系統(tǒng)，虛擬主機(jī)未禁用相關(guān)權(quán)限，都是使用iis作為web服務(wù)器，沒(méi)有及時(shí)更新官方提供的安全補(bǔ)丁。被掛馬的幾乎都是中了一句話(huà)木馬，修改首頁(yè)跳轉(zhuǎn)到其他的網(wǎng)站上，被流量劫持；還有被人做站中站，上傳很多純靜態(tài)的網(wǎng)頁(yè)，解決方法如下。

使用windows服務(wù)器幾乎都難逃dede被掛馬的命運(yùn)，尤其是老舊的2003和2008版本，如果還在使用這種低版本服務(wù)的建議升級(jí)，至少也要升級(jí)到windows server 2016版本以上，我的一個(gè)網(wǎng)站站使用的是win2008，重做了好幾次系統(tǒng)依然被人修改首頁(yè)跳轉(zhuǎn)到別的網(wǎng)站。實(shí)操經(jīng)驗(yàn)是：升級(jí)服務(wù)器系統(tǒng)到win2016以上，棄用默認(rèn)的web服務(wù)器iis，使用nginx作為web服務(wù)器，設(shè)置好nginx相關(guān)的相關(guān)的安全。

win服務(wù)器相對(duì)于Linux來(lái)說(shuō)安全性真的較差一些，而且大部分被人攻擊都是首先服務(wù)器有漏洞，我的win服務(wù)器居然被人添加了一個(gè)和administrator一樣權(quán)限的賬戶(hù)，更換了nginx并把iis卸載后沒(méi)有出現(xiàn)被掛馬的問(wèn)題了。

web服務(wù)器環(huán)境盡量自己搭建，并安裝服務(wù)器安全軟件，目前免費(fèi)的有安全狗、主機(jī)大師等，設(shè)置網(wǎng)站相關(guān)的讀寫(xiě)權(quán)限，禁用沒(méi)有用的端口號(hào)。另外不建議直接使用一些PHP集成環(huán)境來(lái)搭建網(wǎng)站，比如大家熟悉的PHPnow、寶塔、護(hù)衛(wèi)神及西部數(shù)碼建站助手等，這些集成環(huán)境本身的安全性較弱，如果一定要使用注意及時(shí)更新。建議web環(huán)境手動(dòng)搭建配置，一個(gè)PHP環(huán)境的搭建網(wǎng)上有很多教程，一次學(xué)會(huì)終生受益，別老想著用現(xiàn)成的，那些被掛馬的網(wǎng)站大多都是使用了集成環(huán)境，同時(shí)建議經(jīng)常安裝win提示的各種更新有利于提高服務(wù)器的安全。

網(wǎng)站程序方面的漏洞問(wèn)題是不可避免的，只有設(shè)置好也沒(méi)有什么問(wèn)題，首先后臺(tái)提示的安全設(shè)置一定要改。比如上圖中的這個(gè)提示，按照要求去設(shè)置一下，我之前就看到一個(gè)人他的這里也不舍得去改一下，結(jié)果被掛馬了你能怪得了誰(shuí)啊，這種顯而易見(jiàn)的問(wèn)題你不做安全處理這不就相當(dāng)于有鎖你偏不鎖門(mén)嗎，修改網(wǎng)站后臺(tái)登錄地址也屬于必須。

修改dedecms默認(rèn)的數(shù)據(jù)庫(kù)表前綴，默認(rèn)是dede_這樣的，在新安裝網(wǎng)站程序是不安裝測(cè)試數(shù)據(jù)，并且修改數(shù)據(jù)表dede前綴為其他的，這樣可以防止別人直接就知道你的數(shù)據(jù)表前綴是什么。如果已經(jīng)使用了一段時(shí)間的網(wǎng)站則可以通過(guò)備份數(shù)據(jù)庫(kù)，修改備份數(shù)據(jù)里面的表前綴，修改datacommon.inc.php文件 $cfg_dbprefix = ‘dede_’; 將dede_修改為新的表前綴，然后恢復(fù)備份的方法來(lái)修改整站數(shù)據(jù)表默認(rèn)的dede。

對(duì)于沒(méi)有會(huì)員登錄注冊(cè)的網(wǎng)站可以直接件member文件夾刪除，經(jīng)常關(guān)注最新的漏洞信息并加以修復(fù)，以上這些就是關(guān)于dedecms安全加固的方法。

織夢(mèng)網(wǎng)站系統(tǒng)并沒(méi)有那么的不安全，相對(duì)于其他一些不太知名的網(wǎng)站系統(tǒng)來(lái)說(shuō)安全性還是很高的，主要的原因是使用的人太多，會(huì)有人專(zhuān)門(mén)針對(duì)織夢(mèng)系統(tǒng)研究相關(guān)的漏洞，從而做一些不光彩的事情，做好上面的工作基本上就沒(méi)有問(wèn)題了。世上沒(méi)有完美系統(tǒng)，只是相對(duì)安全，如果這樣還是不行，那估計(jì)是你的網(wǎng)站價(jià)值太搭了，有人盯上你了，對(duì)于技術(shù)一般的小白黑客還能扛得住，如果是大牛那你最好想想是不是哪里得罪過(guò)人家吧。
? ? ? ?