DeDeCMS建站系统,也就是我们所说的“织梦”,是时下最热门的开源建站系统之一。因为它的开源免费,造就织梦系统巨大的用户数。但另一方面,也正是因为开源免费,织梦CMS的系统漏洞也是层出不穷,导致网站经常被黑,让运营者非常头疼。下面就给大家提供一些安全设置技巧。完成以下这些步骤,还是能让你的网站安全性大大提升的!
1.保持系统及时更新,及时打补丁。安装时,数据库的表前缀最好改一下,不要用dedecms默认的前缀dede_,可以改成diy_, 或者随便一个名称即可。
2.装好系统后,及时把install文件夹删除,后台登录开启验证码功能,把默认管理员帐号admin删除,改成一个自己专用的,复杂点的账号,密码一定要长,至少8位,而且字母与数字混合。
3.管理目录改名,最好是改成MD5形式的,最好长点。将dedecms后台管理默认目录名dede改掉。
4.如果使用的是HTML,可以把plus下的相应文件和根目录下的index.php做掉(用不到的全删掉,还可以把数据库里面不用的表删除掉)用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
5.不用留言本的可以把plus下的guestbook删掉。以下一些是可以删除的目录:
不用会员功能,删除member
不用专题功能,删除special
不用企业模块,删除company
6.管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
7.其他可以删除的:
不需要下载发布功能的,将管理目录下soft__xxx_xxx.php的文件删除。
不需要SQL命令运行器的,将dede/sys_sql_query.php 文件删除。
不需要tag功能的,将根目录下的tag.php删除。
不需要掘客功能(如果你不知道什么是掘客,那就是不需要),请将根目录下的digg.php与diggindex.php删除。
8.切记定期进行网站数据备份。定期备份数据是任何网站都必须做的,不仅仅是DEDECMS。
9.最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
当然,这些技巧都是一些基本要求和细节调整,指望这些真正想让系统做到安全无忧是不太可能的。织梦CMS的开源属性注定了它的代码非常容易被黑客破解,充斥网络的大量免费模板也很难说里面有没有暗藏玄机。
如果真的希望一步到位的解决这个问题,我们建议替代使用封闭的商业建站系统,比如建站宝盒,这样整体的安全性能都会提高不少。建站宝盒是耐思尼克团队自主独立开发,以企业网站为主打定位,兼顾大多数网站类型的自助建站系统。除了所有网站都需要的基本功能以外,建站宝盒还对安全性做了极大强化,提供了周密的安全策略和攻击防护:对SQL参数进行敏感字符过滤,对密码、cookie进行不可逆加密处理,方便快捷的数据库备份功能、对管理员权限的自由分配等,在方方面面保证了系统的安全和稳定。
其实做网站就和盖房子一样。修修补补在一定程度上可以延长房屋的寿命,却难以改变房屋整体的命运。与其花费大量力气去对老房子进行升级改造,倒不如趁着机会搬到一个新房子去。比起前者,后者的代价也许并没有你想象中那么昂贵。更何况,新房子里还会有很多你意想不到的惊喜呢。