Dede cms文章内容管理系统安全漏洞!如何有效防止DEDE织梦系统被挂木马安全设置

第一、安装Dede的时候数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。

  第二、后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。

  第三、装好程序后务必删除install目录!!!

  第四、将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的。

  第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。

  第六、以下一些是可以删除的目录/功能(如果你用不到的话):

  member会员功能

  special专题功能

  company企业模块

  plus\guestbook留言板

  以下是可以删除的文件:

  管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的

  file_manage_control.php

  file_manage_main.php

  file_manage_view.php

  media_add.php

  media_edit.php

  media_main.php

  再有:

  不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

  不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

  第七、多关注dedecms官方发布的安全补丁,及时打上补丁。

  第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.

  第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.

  第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容文件,理论上最安全,不过维护相对来说比较麻烦。

  十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据!!!

  迄今为止,我们发现的恶意脚本文件有

  plus/ac.php

  plus/config_s.php

  plus/config_bak.php

  plus/diy.php

  plus/ii.php

  plus/lndex.php

  data/cache/t.php

  data/cache/x.php

  data/config.php

  data/cache/config_user.php

  data/config_func.php等等

  大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。

时间: 2024-11-05 22:47:18

Dede cms文章内容管理系统安全漏洞!如何有效防止DEDE织梦系统被挂木马安全设置的相关文章

如何有效防止DEDE织梦系统被挂木马安全设置(仅供参考)

尊敬的客户,您好!     感谢广大客户对我司工作的信任和支持!      我司在最近的一个多月内陆续发现多起因 DedeCMS 安全漏洞造成网站被上传恶意脚本的事件,入侵者可利用恶意脚本对外发送大量数据包,严重占用CPU资源与服务器带宽,影响极为恶劣.为保证服务稳定,即日起一旦发现网站存在此类恶意脚本,我们将立即暂停该网站的服务直到问题修复.如果您正在使用 DedeCMS,请立即检查是否已经存在恶意脚本,并更新程序到最新版本或应用相关补丁.     迄今为止,我们发现的恶意脚本文件有    

帝国cms文章内容tags关键词设置调用方法以及tags静态化

说实话帝国cms用起来真的不好找一些功能,就比如说帝国cms的tag标签调用.需要注意的是帝国CMS文章的关键词和tags标签并非一码事,关键词标签是设置文章的关键词的,是用来给搜索引擎说明本篇文章的大意,而tags标签是用来链接文章的,对于SEOer来说,使用tags可以起到聚合的作用,增加网站页面,提高权重.那么帝国CMS如何调用当前文章内容tags以及实现tags静态化呢? 帝国CMS tags标签怎么设置: 1.登录后台,单击[栏目]菜单——[TAGS管理]——[设置TAGS参数]子菜单

织梦DEDE CMS文章列表arclist标签大全

标记简介:织梦常用标记,也称为自由列表标记,其中imglist.imginfolist.specart.coolart.autolist都是由该标记所定义的不同属性延伸出来的别名标记.功能说明:获取指定文档列表适用范围:全局使用基本语法:{dede:arclist flag='h' typeid='' row='' col='' titlelen='' infolen='' imgwidth='' imgheight='' listtype='' orderby='' keyword='' li

dede调取文章内容的第一张图片

dede调用文章第一张图片(非缩略图)的实现方法 这篇文章主要是介绍dede调用文章第一张图片的实现代码,需要的朋友可以参考下 需要进行两个操作 第一步,修改include/extend.func.php文件,最下面插入函数,查询的是文章附加表,如需查询图片集什么的,改表名即可 复制代码 代码如下: function GetFirstImg($arcid){ global $dsql; $query= "SELECT body FROM `dede_addonarticle` where aid

Dede织梦系统的一键清空回收站以及批量删除所有文章方法

最近搞dede采集,提起织梦相信大家都不陌生,我在第一次搞采集的时候,由于不会写规则,并且也不是单独的采集一篇文章,而是列表里的文章一次性全部采集,等导出数据的时候,我和小伙伴都惊呆了,采集过来的新闻几乎都是缺胳膊少腿,刚开始也是一篇一篇的删,很是恼火,然而,下面这SQL语句却帮了我大忙,一次性把回收站都清空了. 希望对于和我有同样遭遇的人士有帮助,附上语句: 方法: 后台->系统->SQL命令行工具 中运行: delete dede_addonarticle,dede_archives,de

dede织梦5.7的安全防护设置

dede安全是一直令人堪忧的,但是其用来建网站很方便,如果我们使用dede来建站,一定要做好安全防护工作. 下面总结一下dede织梦5.7的安全防护设置 1.更改管理员名称和密码,尽可能设置的复杂一下,一般是大小写字母数字和特殊符号12位以上 2.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT): 3.管理目录改名,最好是改成MD5形式的,最好长点,我一般改成20位大小子字母数字. 4.如果是使用HTML可以把plus下的相应文件和根目录下

织梦系统站点首页、列表、文章页等页面点击数调用方法

大家都知道默认情况下,dedeCMS系统搭建的网站文档页(文章页.软件页等)调用点击数,是动态的,刷新一次,就多一个点击.而首页.频道页.列表页等使用arclist或list调用数据的地方,更新生成静态html网页文件后点击数却是不变的.这种情况,是因为我们使用下面第一种方式调用的点击数. 1.首页.频道页.列表页等使用arclist或list标记里,静态方式调用点击数: [field:click/] 2.首页.频道页.列表页等使用arclist或list标记里,动态方式调用点击数: <scri

织梦cms文章内容页上下篇单独获得URL和文章名称修改

1.打开/include/arc.archives.class.php ,查找   $this->PreNext['pre']    //约813行 在其下一行插入: $this->PreNext['preurl'] = "$mlink"; //上一篇链接地址 $this->PreNext['prename'] = "{$preRow['title']}"; //上一篇文章标题 2.查找    $this->PreNext['next']  

CMS简单内容管理系统

架构 NewsDaoSQLServerImpl public class NewsDaoSQLServerImpl extends BaseDao implements NewsDao { public void testSelect() throws Exception { List<News> list = getAllNews(); for (News news : list) { System.out.println(news.getTITLE()); System.out.print