兰州企业网站制作:如何创建最安全的dedeCMS?

兰州企业网站制作:如何创建最安全的dedeCMS?

兰州企业网站制作:如何创建最安全的dedeCMS?
  如何创建最安全的dedeCMS(请参考使用);许多网站管理员使用DEDE系统来建立站点,但是存在许多dede漏洞。该网站经常被其他人绞死。如何防止被绞死?为了做好DEDECMS安全工作,小编的建议必须做到以下十个步骤:
  
  1.及时更新DEDE并进行补丁。
  
  2,安装DEDE后,及时删除安装文件夹
  
  3,管理目录重命名,后台登录打开验证码功能,默认管理员admin删除,改为专用,复点帐户。最好更改为MD5表格,最好是长,我通常更改为20位字母数字。
  
  4,DedeCms通用安全代码
  
  5,如果使用的是HTML,可以删除plus下的相应文件和根目录下的index.php(可以删除数据库中所有未使用的表)。
  
  6,不需要SQL命令运行器dede / sys_sql_query.php
  
  文件删除。不需要标记功能,请删除根目录下的tag.php。不需要能够删除根目录中的digg.php和diggindex.php。
  
  7,不需要留言簿就可以加加留言簿,你可以做成员没有会员,你可以做特殊的无主题,公司企业模块不能使用
  
  8,文件管理的后台(管理目录file_manage_xxx.php),你可以不用使用它,这不是很安全,至少在后台上传小马很方便
  
  如:file_manage_control.php 兰州企业网站制作 file_manage_main.php file_manage_view.php
  
  Media_add.php media_edit.php media_main.php
  
  9,下载和发布功能(管理目录下的soft__xxx_xxx.php),如果你不需要它可以做到这一点,这也更容易上传小马
  
  10.其他需要注意的问题:不要直接在网站上使用MySQL root用户的权限。为每个网站设置单独的MySQL用户帐户。许可权利是:
  
  SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATE
  
  TEMPORARY TABLES
  
  由于Dede不在任何地方使用存储过程,因此禁用FILE,EXECUTE等以执行存储过程或文件操作非常重要。
  
  最安全的方法:在本地发布html并将其上传到空间。它不包含任何动态内容,理论上是最安全的。但是,维护相?#21592;冉下?#28902;。还是要经常检查你的网站。挂起来是一件小事。被黑客入侵或删除是非常糟糕的。如果你不?#20197;耍?#25490;名将随之而来。所以请记住不时备份您的数据。
  
  大多数上载的脚本都集中在plus,data和data / cache这三个目录?#23567;?#35831;仔细检查三个目录中是否有任何文件上传。
  
  首先,在挂马之前通过安全措施创建最安全的dedeCMS
  
  A,更改默认管理目录dede。
  
  B.检查安装目录中是否存在install.lock文件。用户没?#34892;?#20837;安装目录的权限,导致在安装期间没有生成锁文件。

兰州企业网站制作:如何创建最安全的dedeCMS?

安装完成后,可以完全删除intstall目录。
  
  C,注意后台更新通知,检查是否标记了最新的dedeCMS补丁。
  
  D,服务器web目录权限设置
  
  特殊目录,如有必要,在生成HTML后删除special / index.php
  
  然后将此目录设置为读写,非可执行权限; include,member,plus,后台管理目录设置为可执行脚本,可读但不可写(与附加模块,book,ask,company,Group一起安装)
  
  目录兰州企业网站制作也是如此)
  
  E,建议官方下载程序
  
  F,服务器安全措施(以windows2003系统为例)
  
  1.将系统修补程序更新为最新修补程序并打开自动更新。
  
  2,安装杀毒软件,将病毒库更新到最新,并打开自动更新
  
  3,打开系统自带的防火墙,在应用程序中打开端口,过滤不必要的端口访问
  
  4.打开tcp / ip安全策略并打开应用程序中的端口以过滤不必要的端口访问。
  
  5.开放用户和用户组管理,将IUSR用户添加到不同的WEB站点,这样子权限管理可以减少网站被黑客攻击造成的权限危机。
  
  6,为不同的WEB目录设置不同的权限
  
  示例:WebSiteA目录的相应权限通常是系统/管理员的完全权限IUSR_websiteA只读权限
  
  WebsiteA下的子目录根据DedeCMS程序的要求分配IUSR_websiteA的写入运行权限。有关详细信息,请参阅b-directory权限说明。
  
  7,不要在服务器上安装未知软件
  
  8,不要在服务器上安装任何破解版的中文版软件,如果真的需要推荐原版
  
  9,建议不要安装ServU FTP软件,切换到其他FTP软件,更改FTP端口,用户密码不要太简单
  
  10,如果您不需要,请尝试关闭服务应用程序的远程访?#20351;?#33021;,如远程访问mysql用户
  
  11.对于上述情况,您可以使用本地安全策略功能来设置对IP的允许访问。
  
  12.使用本地安全策略,您还可以?#34892;?#22320;拒绝CC攻击并过滤来自源IP的访问。
  
  13,服务器服务应用注意及时更新补丁,如mssql记得补丁,并使用正版,无条件也使用正规版复制版
  
  14,服务器上的各种应用程序,如IIS配置mysql配置,请搜索百度谷歌在这方面的安全应用,加强内部强度非常重要。
  
  15,打开IIS访问日志记录
  
  二,马后的安全检查
  
  如有必要,请关闭网站,逐步?#19994;?#26368;安全的dedeCMS
  
  A.输入DedeCMS管理后台以检查是否有新补丁或安全提醒未及时更新。
  
  B.检查源文件中是否存在相应的木马病毒代码,以确认是否是ARP攻击兰州企业网站制作。
  
  1,ARP攻击性能:程序文件没有变化,攻击是欺骗目标网关,达到欺骗用户的效果,达到用户访问网站加载木马的目的。
  
  2. ARP攻击防范:在服务器上安装防ARP攻击软件和其他对策,或联?#30340;?#30340;IDC服务提供商。
  
  C.检查目录权限。有关详细信息,请参阅第一个要点中的安全措施。
  
  D.检查FTP中的每个目录,以查找最近修改过的可疑文件。
  
  1.使用记事本等工具打开搜索。如果它真的被绞死了,你可以在这里的分析中?#19994;?#23427;。
  
  3,?#19994;?#25346;起文件的代码,复制代码的关键部分,打开替换软件批处理或批处理查看。
  
  4,上面的步骤需要有服务器控制权限,如果没有,则只能下载并返回批处理。 (这是一种谨慎的方法,如果你确定,你只能检查一些文件或目录)
  
  E,以上无法解决,有必要分析IISLOG日志,?#20998;?#26681;本原因,?#19994;?#20837;侵点。您可以下载IISlog分析软件研究。
  
  第三,如何向dedeCMS寻求帮助或报告安全问题?
  
  1,检查木马和可疑文件的修改时间
  
  2,检查站点系统日志,比?#31995;?#19968;点获得的时间,找出挂马的?#32478;健?
  
  只有建立最安全的dedeCMS,网站管理员才能在将来使用dedeCMS,才能真正做到一劳永逸!