织梦安全设置教程文字详情版
织梦程序这么好用,也是国内被使用最多的一套开源cms程序,经常用织梦的朋友都知道,织梦属于开源程序,源代码大家都知道,所以想搞一个站也是很简单的,但是没有哪个程序是绝对安全的,主要还是靠后期的维护,那么接下来就和猎搜一起来看看织梦的安全设置如何做?
1.可以删除不必要的目录
在安装完织梦之后,我们可以立即删除不必要、不需要的文件;安装目录install(安装完之后这个文件夹就没用了),立即删除;如果不需要使用会员、专题(90%的用户都用不到),那么请立即删除member、special目录.这几个文件都是位于网站根目录,直接删除即可.
2.删除不需要的文件
网站根目录下面的plus文件中的文件,建议保留:img文件夹、ad_js.php,count.php,list.php,search.php,view.php这几个即可,其余可以删除.
guestbook文件夹留言板删除
img文件夹图片可删除
task文件夹计划任务删除
ad_js.php调用广告,如果你的广告不是通过后台"广告管理"设置的,可以删除该文件保留
advancedsearch.php、heightsearch.php高级搜索,一般只用到search.php删除
arcmulti.php异步方式调用指定的tag列表,用不到删除
bookfeedback.php、bookfeedback_js.php图书评论和评论调用文件,存在注入漏洞删除
car.php、posttocar.php、carbuyaction.php购物车删除
comments_frame.php调用评论,存在安全漏洞(现在一般都用第三方评论,不再用织梦自带的评论)删除
count.php阅读次数统计保留
digg_ajax.php、digg_frame.php文章的顶踩功能删除
disdls.php、download.php下载次数统计、下载功能删除
diy.php自定义表单保留
erraddsave.php文章纠错删除
feedback.php、feedback_ajax.php、feedback_js.php评论相关功能删除
flink.php、flink_add.php友情链接、友情链接添加(建议删除,否则容易暴露模板路径)删除
freelist.php自由列表删除
guestbook.php留言删除
list.php动态浏览栏目页保留
mytag_js.php自定义标签js调用方式(如果没用到后台的自定义宏标记,请删除删除
qrcode.php生成二维码删除
recommend.php信息推荐删除
rss.phpRSS列表页删除
search.php搜索保留
stow.php收藏文章删除
view.php动态浏览文章保留
vote.php投票删除
PS:若移动端无法查看完整表格的请转至PC端阅读本文!
3 修改默认后台相关
默认的管理后台通过域名/dede访问,强烈建议修改为其他名称,建议使用中文英文数字结合,也可以再加上符号,总之越难记住也好.
4.删除默认管理员账号admin
(1)新建管理员账户:
点击系统->系统用户管理->增加管理员,填写登录账户及密码等信息,用户组选择"超级管理员"
(2)删除默认的admin用户:
点击系统->SQL命令行工具,运行SQL命令:delete from dede_admin where id = 1;
5.删除不必要的功能
这里主要是针对dede目录的一些安全措施,dede也就是织梦的后台,改名是肯定的,其次为了不被小人利用,比如文件管理功能(这个文件管理器可以轻而易举的上传编写好的程序木马)、SQL命令等都需要删除(其实可以改后缀,不必要删除).如下:
(1)DEDE管理目录下的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
以上几个php是织梦后台的文件管理功能,可以删掉或者改名或者改后缀.
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除.避免HACK利用.
(2)根目录下
不需要tag功能请将根目录下的tag.php删除.
不需要顶客请将根目录下的digg.php与diggindex.php删除!
以上五个步骤都已经逐一完成之后,那么恭喜大家,你们的织梦网站已经是比较安全的了,一般不容易被入侵了,这篇文章是织梦的基础安全设置,还有官方要求将data迁移,除此之外就是定期打补丁,程序出现bug,官方更新之后,你就需要立马打补丁,这样你的织梦站就很安全了.
相关文章:
相关推荐: