织梦不安全,不存在的,网站的安全在于站长。下面,给大家录制一个织梦安全防护教程。改名、改目录结构、不把目录保留在外才是最安全的。先备份,再操作,玩织梦,就要多折腾,什么设置目录权限,我的网站从来不设置。
视频演示
视频中,用《织梦内容管理系统 DedeCMS V5.7 UTF8 SP2 春哥精简版下载》修改的。修改时,先备份,再修改。
简单、笼统、花几分钟,我就把它改了。作为织梦老玩家,我悄悄告诉你,用织梦程序就老死不升级。install 安装目录,线上的删除,线下的保留,以后搬家、重装用得到。
织梦特征目录有:data、include、images、install、plus、m、templets、admin、dede等,线上网站,网站前端,代码里一定不要暴露这些目录。目录改名的意义,就是去掉织梦特征的标签、增加织梦网站安全,玩织梦的,官网主营维权,已不再更新了,你也不要追求什么最新版本,新版也没啥意义的。
剥离通讯
为什么说不更新?你看那个官网,织梦官网常更日志,均危险补丁类型,安全及功能更新,然后改改文字,啥功能也没加,提高了DedeCMS的安全性,建议所有官方原版程序搭建的站点都进行安装。你又更新了,我信你个鬼。
织梦程序的正确使用方法,说实话,那就是老死都不要更新。不要追求新版本,其实啥也没更新,也不要追求啥高PHP版本,用PHP5.6就阔以了。
目录改名
我修改了 data、include、templets 目录名,如果,你细心修改,可以将 images、plus 也改名,这两个也是没有难度的。自定义程序目录,就相当于自研程序了。
织梦安全
除了改名以外,前端网页,调用标签页很讲究,那种暴露路径的标签,还是不要使用的好,记得不要把内核目录暴露了。
文件上传
如果,你使用会员中心、会员投稿、会员登录等,把php、asp、html、js等文件格式禁止上传,记得做会员附件上传测试。
终极大招
上传,无非就是POST和GET传参。使用两个方法,可以把这个传参给拿捏。
①、第一种是使用isset()函数过滤。比如下面的两种传参方式。
- $qq = isset($_GET['qq']) ? $_GET['qq'] : '';
- $qq = isset($_POST['qq']) ? $_POST['qq'] : '';
使用isset()函数后,那些代码审计就相当于摆烂叽叽了。
②、第二种是使用空格字符替换。
- $qq = str_replace(' ','', $qq);
当然了,这种方法有个弊端,那就是只能替换单参数值好用。
更新首页
看《织梦首页自动更新的实现方法》教程。无论是服务商,还是玩网站渗透的,都喜欢从网站首页做文章,长期不管或者长期不看的,说不定哪天首页就被篡改了。
特别注意
不要线上改,也不要直接改,记得备份操作,在本地操作哈,如果你改出问题,那说明你肯定是哪里改错了,细心点,耐心点,多修改,多折腾几次,你肯定会改成功的。
本文结束
评论专区
上一篇
发表评论
评论列表(无评论)