做web開發以來作者經常接到給人家網站做安全升級這種活兒,而接到的這些活兒中,大部分都是通過織夢cms搭建起來的網站,由於被攻擊導致這樣那樣的問題。下面作者對於使用織夢cms搭建的網站的推薦幾種簡單有效的安全做法,歡迎大家指正。
1、更改數據庫表的前綴通配符
這裡說的前綴通配符不是指安裝時輸入的數據庫表名的前綴,而是指系統源碼中的“#@_”字符串。
我曾經在自己一個被黑的網站中看到很多來路不明的文件中寫了很多直接操作數據庫的代碼,這其中對表的操作就都包含了“#@_”字符串,如果我們修改了源碼中的“#@_”字符串,那麼這些來路不明的文件就都不起作用了。
2、更改後台管理目錄名
黑客要入侵一個網站,一般都是通過sql注入破解網站後台管理員賬號密碼,然後登錄到後台,上傳木馬,獲取webshell提權,直到完全控制整個網站。如果我們能修改管理員表的表名和網站後台的管理目錄名,黑客們就無法破解網站的管理員賬號,即便獲取了管理員賬號,也可能因為無法知道網站後台管理目錄而無法登錄以至於放棄。
對於管理員表名和後台管理目錄的修改,應盡量不要出現admin或manager關鍵字,這樣可以大大加大黑客的破解難度。需要注意的是,在數據庫中修改管理員表名後要修改源碼中相應的表名。織夢V5.7中一共有27處需要修改,大家可以通過搜索“dede_admin”進行替換,我就不一一指出了。
3、修數數據庫初連接配置文件
在織夢的data/common.inc.php文件中,記錄著數據庫連接信息,而這些信息都是明文的,很不安全。下面介紹兩種方法來讓它變得相對安全一些。
(1)添加多個變量(幾十個甚至上百個),這些變量中只有六個是真正起作用的,其他的都是用來擾亂黑客的判斷。
(2)給數據加密,不過這種需要站長們有一定的編程技術。無論哪種方法,都需要在數據庫初始化類中做相應修改,但第一種方法只需改幾個變量名,相對就簡單多了。
以上三種方法對織夢CMS系統的安全能起到很重要的作用,而很多站長朋友對提升網站安全的辦法都無從下手。希望本文能對廣大站長朋友的織夢網站安全有所幫助!
另外也同時需要注意的幾點是:
1、安裝完成後刪除根目錄下的member、special、install文件夾
2、設置uploads、images、data、templets 可讀可寫不可執行
3、設置include、plus、後台文件(默認是dede)可讀可執行不可寫入
4、設置data/common.inc.php 只讀
5、後台水印關閉
6、404頁面設置