防止dedeCMS織夢網(wǎng)站被黑掛木馬的一些方法

時(shí)間：2022-05-26 00:06:02 | 來源：網(wǎng)絡(luò)營銷

時(shí)間：2022-05-26 00:06:02 來源：網(wǎng)絡(luò)營銷

Dedecms后臺系統(tǒng)程序升級到5.7 sp2版本之后，依舊存在很多漏洞。截止到今天，依舊有大約3萬個(gè)使用dedecms管理系統(tǒng)程序開發(fā)的網(wǎng)站被黑客掛馬。目前，dedecms官網(wǎng)沒有給予任何答復(fù)以及解決方案。另外，對于國內(nèi)公認(rèn)最具權(quán)威的360網(wǎng)站安全監(jiān)測，很失望的是一直曝正常。

這次針對于DEDE程序的木馬，主要被運(yùn)用于博 彩以及色情行業(yè)相關(guān)網(wǎng)站做跳轉(zhuǎn)。從中我們也看出一個(gè)問題，曾經(jīng)被公認(rèn)為正義之士的黑客良莠不濟(jì)，多數(shù)還是以損害個(gè)人利益來謀取利潤。

dede織夢cms系統(tǒng)的程序存在漏洞，黑客攻擊方法層出不窮，導(dǎo)致網(wǎng)站經(jīng)常被黑，被百度安全中心等攔截，影響排名和流量，讓站長非常頭疼，下面總結(jié)一些防止dede織夢cms系統(tǒng)被攻擊設(shè)置的方法，可有效的防止織夢系統(tǒng)被掛馬，僅供各位站長參考。

1、安裝時(shí)數(shù)據(jù)庫的前綴不用dedecms默認(rèn)的前綴dede_，可以改成其他的名稱，比如：diy_

2、裝好dede織夢cms系統(tǒng)后，刪除預(yù)裝文件install，雖然對install目錄已經(jīng)進(jìn)行了嚴(yán)格處理，但為了安全起見，我們依然建議把它刪除。

3、修改織夢后臺文件目錄：把默認(rèn)的dede改成其他名字

4、織夢后臺后臺密碼盡量復(fù)雜化：密碼應(yīng)該由大寫字母、小寫字母和數(shù)字組成。

5、將系統(tǒng)的data目錄遷移到根目錄以外：data目錄是系統(tǒng)緩存和配置文件的目錄,一般都有可以讀寫的權(quán)限，只要是能夠?qū)懭氲哪夸浂伎赡艽嬖诎踩[患，很多站長甚至給予這個(gè)目錄可執(zhí)行的權(quán)限，更是非常危險(xiǎn)，所以，我們建議將這個(gè)data目錄搬移出Web可訪問目錄之外。

基本操作如下：

(1)、將data目錄移動到上一級目錄中，這里直接剪切過去就可以了（具體可查看億企邦《安全正確轉(zhuǎn)移網(wǎng)站data目錄文件的具體方法步驟》的相關(guān)介紹）；

(2)、配置include/common.inc.php中DEDEDATA文件

define('DEDEDATA', DEDEROOT.'/data');

可以改成類如：

define('DEDEDATA', DEDEROOT.'/../../data');

(3)、后臺設(shè)置模板緩存路徑

模板緩存目錄：改為：../../data/tplcache

當(dāng)然我們還要特別注意的是，dedecms默認(rèn)的后臺路徑為dede,我們最好更改這個(gè)文件夾的名稱，越復(fù)雜越好；另外，億企邦強(qiáng)烈建議data/common.inc.php文件屬性設(shè)置為644（Linux/Unix）或只讀（NT）。

6、不用會員系統(tǒng)，就把member整個(gè)文件夾全部。

7、用不到留言本，就把plus下的guestbook文件刪除。

8、不用下載功能，就把管理目錄下的soft__xxx_xxx.php刪除。

9、如果是使用HTML，可以把plus下的相應(yīng)文件和根目錄下的index.php刪除。

10、不用專題功能可以把special文件夾刪除。

11、用不到企業(yè)模塊可以把company文件夾刪除。

12、不用下載發(fā)布功能可以把管理目錄下soft__xxx_xxx.php刪除。

13、刪除后臺的文件式管理器：通過后臺的文件式管理器，可以修改網(wǎng)站的任何文件，為了安全，億企邦建議把管理目錄下file_manage_xxx.php刪除。

14、如果不需要SQL命令運(yùn)行器的，可以把管理目錄下的dede/sys_sql_query.php文件刪除。

15、另外一些用不到的文件都刪除，還可以把數(shù)據(jù)庫里面不用的表刪除掉。

16、大多數(shù)被上傳的腳本集中在plus、data、data/cache三個(gè)目錄下，請仔細(xì)檢查三個(gè)目錄下最近是否有被上傳文件。

17、不要對網(wǎng)站直接使用MySQL root用戶的權(quán)限，給每個(gè)網(wǎng)站設(shè)置獨(dú)立的MySQL用戶帳號，由于DEDE并沒有任何地方使用存儲過程，因此務(wù)必禁用FILE、EXECUTE 等執(zhí)行存儲過程或文件操作的權(quán)限（具體可查看億企邦《取消網(wǎng)站文件目錄腳本執(zhí)行權(quán)限的方法步驟》的相關(guān)介紹）。

18、對織夢及時(shí)升級打補(bǔ)丁。作為織夢官網(wǎng)，升級也是經(jīng)常在做的，我們在登陸網(wǎng)站后臺的時(shí)候，如果看到有升級提醒，需要及時(shí)升級文件，以防止因?yàn)闆]有升級造成漏洞入侵。一般常見的安全，官網(wǎng)會第一時(shí)間發(fā)現(xiàn)，并且提供補(bǔ)丁。

19、不要忘記定期對數(shù)據(jù)備份。對于備份大家都知道，有利網(wǎng)站的安全，定期備份數(shù)據(jù)是任何網(wǎng)站都必須做的，不僅僅是DEDECMS織夢系統(tǒng)。

這些是常用的防攻擊方法，正所謂：道高一尺，魔高一丈，網(wǎng)站排名好了，流量多了，就會有人想盡辦法攻擊你的網(wǎng)站，最好的辦法是定期備份，并把備份文件下載到電腦安全的地方保存好，網(wǎng)站如果被攻擊，把空間里面的文件全部刪除，上傳備份文件即可（具體可查看億企邦《網(wǎng)站轉(zhuǎn)移教程：織夢系統(tǒng)數(shù)據(jù)庫備份和還原的方法步驟》的相關(guān)介紹）。

20、其它需注意的問題

以下一些是可以刪除的目錄：

member 會員功能

special 專題功能

company 企業(yè)模塊

plusguestbook 留言板

以下是可以刪除的文件：

file_manage_control.php；file_manage_main.php；file_manage_view.php；media_add.php；media_edit.php；media_main.php

管理目錄下的這些文件是后臺文件管理器，屬于多余功能，而且最影響安全。

綜上所述，在力所能及的范圍內(nèi)，你可以采取一些措施來加強(qiáng)織夢的安全的，如果自己實(shí)在是個(gè)技術(shù)菜鳥，那不妨先按照上面的介紹，做好提前預(yù)防措施，至少能預(yù)防一些常規(guī)的攻擊。

億企邦點(diǎn)評：

懂開發(fā)的人都清楚，天下沒有任何一套程序沒有漏洞的，你看微軟投資那么多錢，聘請全世界一流的專家開發(fā)windows，那不是從推出一個(gè)windows版本，到這個(gè)版本退出歷史舞臺，一直在打補(bǔ)丁，安全漏洞就從來沒有斷過。對于應(yīng)用量這么大的織夢程序來說，適用范圍越廣，關(guān)注的人越多，去尋找他的漏洞的人也就越多，暴露出的漏洞也就越多，所以給普通用戶一個(gè)織夢漏洞多的印象就不足為怪了。

所以，不能說織夢本身有多差勁，要做的更好，就要從日常防護(hù)上著手。黑客入侵，都是從給一個(gè)程序發(fā)送請求開始，所以，程序必須要做好過濾。