DedeCms做为国内使用最为广泛使用人数最多的CMS之一,经常爆出漏洞,每个漏洞的爆出,影响都是一大片,轻则被人挂广告、弹框,重则服务器成为肉机,宝贵数据丢失。那么有什么办法可以提高DedeCms的安全性呢?
先来看看原因吧,为什么PHP程序经常出漏洞,其实是由PHP程序本身决定的。PHP可复用性低,导致程序结构错综复杂,到处是冗余代码,这样不仅利于漏洞的产生,还影响漏洞的修得;PHP程序入门简单且普遍开源,导致很多人都可直接阅读代码,搜寻漏洞;这样便有源源不断的漏洞被发现、被修复、被发现……。而当前流行的PHP系统习惯用以文件形式做为缓存,这样就需要开放文件的写权限,这无疑成为PHP系统的软肋。目前针对PHP系统的攻击方式,除了已经很少出现的“注入”攻击外,大部分攻击都是通过系统的某个漏洞,向可写文件里插入一句话木马,以此方式获得shell。
网站安全从来都是服务器配置、文件权限控制和网站程序三者的相互配合,今天主要看看如果对DedeCms网站程序的改进来提高安全性。“可执行的文件不允许被修改,可写文件不允许被访问”这是网站权限控制的根本原则,网站程序在“可写文件不允许被访问”方面可做许多工作。就拿DedeCMS来说,我们可以在如下几个方式做好保护。
1、改名根目录下的data目录,或者移动到网站目录外面
data目录便是最藏污纳垢的地方,系统经常要往这个目录写数据,这个目录下的任何一个文件又都可以通过URL访问到,所以要让浏览器访问不到里面的文件,就需要将此目录改名,或者移动到网站的目录外面去。这些,即使别人通过漏洞往文件里写进了一句话木马,他也找不到此木马所在的文件路径,无法继续展开攻击。因为DedeCMS程序的不合理,导致改名data目录动作会比较大,具体做法如下:
a. 将公开的内容迁移到pub目录(或者其它自定义目录)下,如rss、sitemap、js、enum等,此步骤需要移动文件夹,并修改这些文件的生成路径
b. 修改引用程序目录
搜索替换“DEDEDATA."/data/” 为 “DEDEDATA."/”,大概替换五六十个地方;
搜索替换“DEDEDATA.‘/data/” 为 “DEDEDATA.’/”,大概替换五六十个地方;
搜索“/data/”,按具体情况,修改路径类似成为:“$DEDEDATA."/”(注意include目录和后台管理目录都有data文件夹,不需要修改);
c. 修改data文件夹名称,并修改include/common.inc.php文件里的“DEDEDATA”的值,再在后台系统设置>参数设置里修改模板缓存目录,即可修改完成。以后也可以按照此步骤来更改data文件夹名称。
2、改名“dede”管理目录,并加固
如果把后台隐藏好了,即使别人获得了你的管理员账号、密码,他也无从登录。
a.在/dede/config.php里,找到如下行:
1//检验用户登录状态
2$cuserLogin = new userLogin();
3if($cuserLogin->getUserID()==-1)
4{
5 header("location:login.php?gotopage=".urlencode($dedeNowurl));
6}
把上面代码,改为:
1//检验用户登录状态
2$cuserLogin = new userLogin();
3if($cuserLogin->getUserID()==-1)
4{
5 //header("location:login.php?gotopage=".urlencode($dedeNowurl));
6 header("HTTP/1.0 404 Not Found");
7 exit();
8}
b.修改/dede/login.php的文件名称,并对应的修改/dede/templets/login.htm里的表单提交地址;
c.修改/dede/的目录名称;
这样,别人在没有登录前,只能访问/dede/login.php改名后的地址,访问其他地址均会获得404错误。
当然,做了安全加固后,以后DedeCMS的升级就会有一些麻烦
分享到:
相关推荐
dedecms批量漏洞扫描,大家可以自己试试效果
基于PHP的Dedecms管理员账号密码重置php文件(dedecms源码.zip
传智播客PHP教程韩顺平dedecms项目开发笔记.pdf
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步...
PHP实例开发源码—php淘源码商城dedecms物流网站源码.zip PHP实例开发源码—php淘源码商城dedecms物流网站源码.zip PHP实例开发源码—php淘源码商城dedecms物流网站源码.zip
基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip
PHP实例开发源码—58安卓网dedecms模板 php版.zip PHP实例开发源码—58安卓网dedecms模板 php版.zip PHP实例开发源码—58安卓网dedecms模板 php版.zip
如图所示:dedecms在线订单发送邮件插件用途:访客在线发送信息到您预先设置的邮箱,稍加修改,即可作为订单、反馈、求职等邮件发送。解压包里有安装说明,新手不会的话可以联系站长,或者留言即可。
PHP实例开发源码—DEDECMS友情链接管理插件增强 php版.zip PHP实例开发源码—DEDECMS友情链接管理插件增强 php版.zip PHP实例开发源码—DEDECMS友情链接管理插件增强 php版.zip
PHP实例开发源码—Ping服务插件dedecms后台插件 php版.zip PHP实例开发源码—Ping服务插件dedecms后台插件 php版.zip PHP实例开发源码—Ping服务插件dedecms后台插件 php版.zip
基于PHP的DEDECMS友情链接管理插件增强php版源码.zip
PHP实例开发源码—dedecms高仿流行安卓网整站程序 php版.zip PHP实例开发源码—dedecms高仿流行安卓网整站程序 php版.zip PHP实例开发源码—dedecms高仿流行安卓网整站程序 php版.zip
dedecms一键解密工具 用起来方便简单 添加地址直接一键使用 dedecms网络渗透专用
基于PHP的带数据dedecms趣事多多模板 php版 v1.0.zip
PHP实例开发源码—dedecms笑话模板(带手机wap版) php版.zip PHP实例开发源码—dedecms笑话模板(带手机wap版) php版.zip PHP实例开发源码—dedecms笑话模板(带手机wap版) php版.zip
基于PHP的58安卓网dedecms模板php版v1.0源码.zip
PHP实例开发源码—58安卓网dedecms模板 php版.zip
基于PHP的dedecms笑话模板(带手机wap版)php版源码.zip
DEDECMS5.7后台getshell1
PHP实例开发源码—Ping服务插件dedecms后台插件 php版.zip