使用dedecms做网站容易被挂马,如何做好防护
出处:www.shi-dong.com作者:诗洞网络发布时间:2013-05-24 15:45
DEDECMS是如今网站建设首选开源程序之一,相信很多站长和我一样选择了它,它的优点我就不多说了。可是令很多站长头疼的是,自己用dedecms建的站经常被人莫名其妙的挂马,造成满页黑链,令人气愤;更为严重的是,还有可能被搜索引擎惩罚,于是辛辛苦苦建立的站,眼睁睁的看它权重下降,收录减少,甚至被K。其实,我是草根在被入侵几站与主动入侵他站之后,得出经验:对于dedecms挂马,我们完全可以防范于未然。今天,音响网络就自己的体会从一下几点和广大dede爱好者们谈谈怎样防止dedecms被挂马:
1 服务器安全 这是最根本的防范。如果你是独立主机,相信在搭建服务器时就考虑到了这一点。服务器上一定要安装最新版本的防毒杀毒软件,及时升级更新,并设置好服务器的安全权限,让木马找不到入侵的大门。至于如何设置,网上随便一搜一大堆;如果你是租用的虚拟主机,那就要擦亮你的眼睛仔细甄别了。现在的一些IDC代理商都是只认钱不认人的,选择好的空间商,会给你一个更安全的建站空间。即使出了什么问题,也能第一时间得到解决。要知道,站点出现的有些问题是不能拖得,特别是被恶意挂马,一步留神可能就被K站了。我听说A5的主机就不错,有机会试一试。
2 windows主机下dedecms安全设置 下载并安装了程序之后,首先就是要设置目录权限,这样即使木马突破服务器的限制,我们也让它找不到进一步破坏的路。如果你是windows主机,目录权限可以这样设置:
(1) data、templets、uploads、a目录, 设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。此外,建议把install 目录删除并不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:SELECT, INSERT , UPDATE , DELETE,CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES 。由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
3 程序更新补丁 设置完目录权限之后,就让网站后台,先别忙着添加栏目和文档,看看系统主页有没有升级更新的补丁提示,如果有就别犹豫了,赶紧打上吧。如果你用的是较老版本的程序而补丁提示是最新版本的,那么建议还是重新安装最新版本的程序吧。现在dede已经出了V5.6了,相比较之前的版本,安全性更有保障。友情提示:升级程序之前别忘记了重要数据的备份,包括图片、模板等。
4 后台目录更名 dede安装后默认的后台目录是dede,这样很容易被人猜到后台地址,极不安全。把它改成更复杂的名字吧,最好不要用网站名称一类容易猜到的。
5 FTP密码复杂化 如果你的FTP密码很简单,就容易被一些FTP弱口令软件猜中。因此尽量将FTP密码设置的复杂一些,最好字母+数字组合,10位以上,让那些破解程序当机吧。
6 最后一点,数据备份。其实即使我们做到了严格的防范,也不能完全防止被挂马,正所谓道高一尺魔高一丈吧!所以你的网站数据一定要经常备份。这样就算是网站被黑,也能通过重装程序还原数据,将损失降低到最低,毕竟数据是站长们最宝贵的财富。
来源:http://www.qcyx.org/
1 服务器安全 这是最根本的防范。如果你是独立主机,相信在搭建服务器时就考虑到了这一点。服务器上一定要安装最新版本的防毒杀毒软件,及时升级更新,并设置好服务器的安全权限,让木马找不到入侵的大门。至于如何设置,网上随便一搜一大堆;如果你是租用的虚拟主机,那就要擦亮你的眼睛仔细甄别了。现在的一些IDC代理商都是只认钱不认人的,选择好的空间商,会给你一个更安全的建站空间。即使出了什么问题,也能第一时间得到解决。要知道,站点出现的有些问题是不能拖得,特别是被恶意挂马,一步留神可能就被K站了。我听说A5的主机就不错,有机会试一试。
2 windows主机下dedecms安全设置 下载并安装了程序之后,首先就是要设置目录权限,这样即使木马突破服务器的限制,我们也让它找不到进一步破坏的路。如果你是windows主机,目录权限可以这样设置:
(1) data、templets、uploads、a目录, 设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。此外,建议把install 目录删除并不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:SELECT, INSERT , UPDATE , DELETE,CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES 。由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
3 程序更新补丁 设置完目录权限之后,就让网站后台,先别忙着添加栏目和文档,看看系统主页有没有升级更新的补丁提示,如果有就别犹豫了,赶紧打上吧。如果你用的是较老版本的程序而补丁提示是最新版本的,那么建议还是重新安装最新版本的程序吧。现在dede已经出了V5.6了,相比较之前的版本,安全性更有保障。友情提示:升级程序之前别忘记了重要数据的备份,包括图片、模板等。
4 后台目录更名 dede安装后默认的后台目录是dede,这样很容易被人猜到后台地址,极不安全。把它改成更复杂的名字吧,最好不要用网站名称一类容易猜到的。
5 FTP密码复杂化 如果你的FTP密码很简单,就容易被一些FTP弱口令软件猜中。因此尽量将FTP密码设置的复杂一些,最好字母+数字组合,10位以上,让那些破解程序当机吧。
6 最后一点,数据备份。其实即使我们做到了严格的防范,也不能完全防止被挂马,正所谓道高一尺魔高一丈吧!所以你的网站数据一定要经常备份。这样就算是网站被黑,也能通过重装程序还原数据,将损失降低到最低,毕竟数据是站长们最宝贵的财富。
来源:http://www.qcyx.org/
下一篇:没有了 上一篇:选择一个优质空间的三点方法
推荐阅读
- 怎么样的外链才算高质量外链
- 如何利用友情链接平台进行SEO工作
- 目前比较流行的外链建设方法的优劣势
- 新手常用的发外链方法
- 网站有了排名后如何维护好排名
- SEO详解图
- 使用dedecms做网站容易被挂马,如何做好防护
- 中小企业网站优化的问题
- 鸿景照明网站推广方案
- 选择一个优质空间的三点方法
- 百度百科会让你损失很大
- 做SEO网站优化只顾埋头发外链有用吗
- 淘宝客网站如何快速提升权重
- 关键词优化多久可以看到效果
- 网站优化应该注意的几个方面