浅谈DedeCMS安全设置 做目录执行php脚本限制方法
发布时间:2011-11-28 17:03:58
dedecms是一个非常好的CMS程序,现在最新版本是5.7。经过很多版本的升级和功能添加,dedecms仍然存在很多问题。这里不是说DEDECMS不好,相对来说dede还是很好的,简单容易用,造福了许许多多中小站长。
很久没更新博客,今天想浅谈DEDECMS安全设置。用dedecms的朋友一定有遇到过网站被挂马的事,不是每个页面中被添加很多链接就是js中被加入恶意转向。
浅谈DEDECMS安全设置:
1、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险。
2、后台登录管理不要用admin为用户名 可以改成其他的。
3、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。
4、针对uploads、data、templets 三个目录做执行php脚本限制。
5、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。
6、用最新版的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。
7、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。(游子推荐:删除member 会员文件夹 不用会员系统)
虚拟主机/空间配置目录执行php脚本限制方法:Apache环境和nginx环境的两种设置方法
对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置。
在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ –[F]
nginx环境规则内容如下:nginx执行php脚本限制
LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。
首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:
location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
deny all;
}
好了就这些吧,做了这些应该不会有什么问题基本够用!建议用dedecms的朋友花点时间去设置一下。
猜你喜欢
- 新云CMS常用模板标签,官方帮助没说明,在其论坛网友给出的也不完整。今天,我在查找新云CMS一个变量时,发现在新云CMS安装目录下admin
- VPN(Virtual Private Network,虚拟专用网络)是专用网络的延伸,它可以通过共享Internet或公共网络连接模拟点对
- 3月2日,权威调研机构CCID(赛迪顾问,直属工信部电子信息产业研究院)正式发布《2009-2010年度中国服务器市场研究报告》,报告显示,
- 在windows2003下架设邮件服务器的过程跟XP系统类似,可以用系统自带的POP3及SMTP服务建立,也可以借助第三方软件实现。适用环境
- 一种被称为“缓存溢出(buffer overflow)”的设计缺陷,正在严重危害着系统的安全,成为比y2k更为头痛的问题。一旦这个缺陷被别有
- 核心提示:任何行业都存在竞争,SEO领域同样不例外,而且相对来讲网站搜索引擎优化领域显得更加激烈。如果SEO是一场比赛,搜索引擎就好比裁判。
- 前几天的一篇博客是关于“为什么有的小站点(或新站点)在搜索结果中排名能靠前?”,下面又是一个很少人注意的影响SEO效果的因素:你购买域名时一
- 2010年支付宝推出了全新的体验版,在改进体验的同时也重新布置了业务底层,使产品更加贴近设计初衷。也希望能够给用户带来更好的体验。以上不是这
- 301永久性转向是SEO常用的一个手段,是搜索引擎认可的一种转向手段,搜索引擎可以肯定原网页永久的改变位置或不存在了,把新网页当作唯一有效的
- 其实DoS的工具还是不少的,不过总是不大好用,偶常常在点击了“攻击”之后扭头看我身后倒霉的兄弟,可是往往效果不佳,并且使用起来也不爽。为此,
- Godaddy主机用户的WEB-INF目录用于你的默认Web应用程序,且位于你的主目录下。你可以通过在主目录下创建子目录,并在子目录里创建W
- 10月29日消息,据国外媒体报道,亚马逊网站将在美国时间10月29日开始运行网上购物升级服务系统:亚马逊PayPhrase。届时,在线购物的
- 互联网是一个快节奏的环境。世界各地的人们在任何时间都能来到你的站点,你的每个访客都有不同的目的和需求。不像实体零售商店,你不能看到谁来到了你
- 很奇怪对不对?似乎所有教程都在教你,怎么为你的网站拉拢更多的看客,不管是正面诱导还是强女干眼球。先把人拉过来再说!人多了,点广告也好,买东西
- Discuz!7.0是康盛创想(Comsenz)公司于2008年12月份发布的一款论坛BBS建站产品。在Discuz!7.0版本中完善了论坛
- 北京时间11月27日消息,据国外媒体报道,Facebook本周三修改了其开发平台政策,明确规定了第三方应用开发者可以在Facebook应用里
- 1、如何保证百度能每天收录站点新增加的页面?解答:站点保持每天更新好的内容,平稳增加一些鲜活的外链,一段时间后,就会每天都被更新了,这个过程
- 本文子明特别用通俗的例子,说明ARP欺骗攻击的原理,使ARP欺骗攻击原理更加清楚的展现在你的面前。了解ARP地址解析协议我们先来简单描述下什
- 关于jdfwkey问题的讨论最近我的网站经常出现jdfwkey,形式如?jdfwkey=csscf,很多朋友可能也遇到过,可能不太清楚是什么
- 导入链接指的是从外部网站的页面上链回您的网站的链接。导入链接能够给您的网站带来新的用户,而且当这些链接是有价值的、网站编辑自愿选择的链接时,