织梦老是被挂马,淘宝廉价买的织梦模板,网上下载的免费织梦模板,找人做的廉价织梦仿站等,网站首页经常被挂马,做的织梦网站,被别人利用帮别人引流。下面,小千博客,将告诉大家,织梦网站被挂马的原因,以及织梦网站被挂马的解决办法,模板没有问题,程序没有问题,关键问题在于站长,懒惰、依赖、不懂、不会、不检查、动手能力差。
织梦被挂马的通病
作为一个资深的织梦站长,我可以明确的告诉你,织梦网站被挂马的通病,那就是关键问题在于站长。织梦的模板,无论你去哪里下载到的,检查、修改、折腾、捣鼓、如果技术到位,最好是能改到面目全非,就尽量的改得面目全非,织梦漏洞多,织梦毛病多,织梦BUG多,这些,在你用织梦之前,都要仔细检查,然后做好修复,老死都不要再更新版本。
有点站长,看到官网更新,就喜欢升级程序,升级内核,升级以后呢?升级的那些功能,你又不用,你也不用,你还是没用,你也用不到,你升级来做啥,升级以后并不安全。其实,我们用织梦程序,大多数的站长,也就是复制内容模型、新建栏目、发布文章、设置动静态、生成静态的HTML就行了,对于其它的功能,真的是摆设,而这些摆设文件就是漏洞。
上亿站长在研究织梦
不是吹的,说得夸张点,有上亿的人,在研究织梦。因为,我的网站日志告诉我,每天都有上千条拦截日志,都在想着,怎样才能给我网站挂马。作为一个织梦站长,真的是特别的不容易,如果你不会技术,如果你不懂代码,如果你不经常维护,真的是,网站哪天被人破解了,当域名被拦截、被爆红、都是非常正常的事情,所以,织梦网站需要经常打理。
悄悄的告诉大家,织梦网站,特别容易被传木马,而且还是图片木马。简单的来说,就是上传一张图片,运行图片后,自动生成一个PHP文件,而这个PHP文件就是图片木马。所以,织梦网站的data缓存目录,和uploads图片上传目录,是最容易被攻破的防线。暴露网站目录、文件、以及程序结构,对网站来说,都是非常危险的,说不定哪天,就会被破防。
禁止指定目录运行PHP
对于HTML生成目录、data缓存目录、uploads图片上传目录、前端样式目录,使用伪静态规则,禁止这些目录运行PHP代码,是非常有必要的。哪怕你不会代码,你不懂代码,也能让你的网站不受挂马滋扰,总的来说,这是给你的网站加了一道防线。专门克制那些,使用软件高手的黑客,能够防止你的网站...额...不会那么轻易就会被攻破。
如果是Apache环境
①、安全设置 禁止以下目录运行指定php脚本。linux主机的用户一般都是Apache环境,使用 .htaccess 文件来设置,如果你网站根目录已经存在这个文件,那就复制一下代码添加进去。
RewriteEngine on RewriteCond % !^$ RewriteRule a/(.*).(php)$ – [F] RewriteRule templets/(.*).(php|htm)$ – [F] RewriteRule uploads/(.*).(php)$ – [F] RewriteRule static/(.*).(php)$ – [F]
如果是Nginx环境
②、Nginx下禁止指定目录运行PHP脚本。注意:这段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效,配置完后记得重启Nginx生效。
location ~ ^/(a|templets|uploads|static)/(.*)\.(php|htm)$ {
return 404;
}或者
location ~* /(a|templets|uploads|static)/(.*)\.(php|htm)$ {
deny all;
}两个Nginx的伪静态规则都可以,用其中一个就行。
测试下是否生效
设置好了以后,还要测试是否生效。这步很重要,虽然设置好了,但是还是要测试一下有没有效果,测试有没有生效,可以随便创建一个PHP文件传到uploads文件夹下,执行:域名/uploads/测试文件.php 如果不能打开说明生效。相反,如果能打开,就不生效,你得想办法让它生效才行。如果实在不会操作,可以联系小千代劳。
做网站,是需要管理的,哪怕,是采集站,采集到的图片,都有可能是木马。想要网站安全,作为站长,就要付出时间,去折腾、去维护,网站才会安全。最后,还是那句话,网站的安全,在于站长,而不是程序,不要抱怨,你所使用的程序,自带漏洞、自带后门,自带木马,只有站长,不断的维护、更新、修复、打补丁,网站才会更加安全。
本文结束
评论专区
上一篇
发表评论
评论列表(无评论)