使用Dedecms中七个容易忽略的安全细节介绍
发布时间:2012-06-11 10:30:28 作者:佚名 
我要评论
我要评论dede也许站长都会用了.但是有不少的细节和经验还是要注意的
随着CMS的流行起来,越来越多的网友开始加入到个人站长的行业里,或许不少网友认为,只要买个域名,租个空间,随后解析域名,随后FTP上传程序,程序安装以后便可以发布内容了,发布内容了便开始到处做外链了,做外链了便是真正的站长了。
只是,做站长真的是这么简单吗?对于大部分站长来说,Dedecms都是很方便的开源CMS,因为使用的人数众多,所以dedecms的安全性一直饱受诟病,不仅仅是使用dedecms的网站很容易受到攻击,甚至是织梦的官网都经常打不开,这可谓是树大招风的典型。不过呢,即便是这样,还是有很多网友支持,毕竟使用起来很上手,菜鸟都可以在很短的时间内学会操作;不过如果你真的喜欢dedecms,那么在使用的过程中要注意以下七个容易忽视的安全问题。
一、随手下载使用别人的模板
Dedecms之所以流行,一个很重要的原因便是模板很多,而且模板很漂亮,不少的网友便是直接下载官方程序,随后找个模板套上,这样便可以完成很多的网站。不过呢,在下载模板的时候,最好检查下模板上是否有黑链或者别的广告代码什么的,这些都可能影响网站安全。
二、没有限制文件夹脚本运行
这是官方提供的建议,因为dedecms很容易受到攻击,如果不小心被上传文件了,如果你的文件夹有限制脚本运行的权限,那么这些文件还是无法运行的。目前uploads、data、templets这三个目录是要禁止php文件运行的,同时common.inc.php要设置为只读。
三、没有及时升级补丁或版本
不管是什么开源程序,都会有不同的版本,目前dedecms很流行的版本是5.6或5.7,不过之前的版本还是会更新漏洞补丁的;使用dedecms建站,那么要不定期在后台升级补丁,这和使用windows系统一样,没有补丁便没法保证安全,不管多忙都要去后台升级补丁。
四、没有限制会员上传文件格式
Dedecms还是很强大的,不仅可以做内容网站,还可以做社区,支持投稿,支持和论坛数据加在一起等;不过,因为涉及到注册会员投稿什么的,那么要特别注意会员上传文件的格式,要在后台设置清楚允许上传的附件及图片,不少漏洞都是利用会员上传文件攻击的。
五、没有修改管理员账号及昵称
Dedecms管理员账号是admin,默认的管理员昵称同样是admin,这里的昵称便是发布文章时显示的发布者,为避免管理员账号泄露,那么一定要修改昵称,昵称在账号管理里可以修改,建议改为中文;至于管理员账号,在数据库里修改,避免别人已知账号暴力破密码。
六、没有修改后台地址或写入robots.txt
使用这类有后台的CMS,那么一定要修改后台地址,同时要补丁修改;不过呢,不少新手推测搜索引擎可能会收录到后台地址,于是乎在robots.txt中禁止收录后台目录,这样反而是此地无银三百两,让那些不坏好意的人有机可乘。如何书写robots.txt可以参照站长网。
七、网站出现问题轻易给出后台
身为站长,或多或少都会遇到网站改版或者网站中毒的问题,遇到这类问题的时候,难免要找人解决问题,论坛便有不少专门解决这类问题的人,不过这些人是好坏都有,不少人上Q后便直接说自己能解决问题,随后问后台地址及密码,这个时候站长千万不要激动,要先查看下对方的信息,不少不诚信的人便在这时候轻易控制你的网站添加黑链或潜在漏洞什么的。
不管怎样,不管别的CMS怎么宣传安全性和稳定性,还是无法阻挡广大站长使用dedecms,毕竟简单啊,简单易用才是王道,不过在方便的时候不要忘了这些容易服饰的安全问题哦。
只是,做站长真的是这么简单吗?对于大部分站长来说,Dedecms都是很方便的开源CMS,因为使用的人数众多,所以dedecms的安全性一直饱受诟病,不仅仅是使用dedecms的网站很容易受到攻击,甚至是织梦的官网都经常打不开,这可谓是树大招风的典型。不过呢,即便是这样,还是有很多网友支持,毕竟使用起来很上手,菜鸟都可以在很短的时间内学会操作;不过如果你真的喜欢dedecms,那么在使用的过程中要注意以下七个容易忽视的安全问题。
一、随手下载使用别人的模板
Dedecms之所以流行,一个很重要的原因便是模板很多,而且模板很漂亮,不少的网友便是直接下载官方程序,随后找个模板套上,这样便可以完成很多的网站。不过呢,在下载模板的时候,最好检查下模板上是否有黑链或者别的广告代码什么的,这些都可能影响网站安全。
二、没有限制文件夹脚本运行
这是官方提供的建议,因为dedecms很容易受到攻击,如果不小心被上传文件了,如果你的文件夹有限制脚本运行的权限,那么这些文件还是无法运行的。目前uploads、data、templets这三个目录是要禁止php文件运行的,同时common.inc.php要设置为只读。
三、没有及时升级补丁或版本
不管是什么开源程序,都会有不同的版本,目前dedecms很流行的版本是5.6或5.7,不过之前的版本还是会更新漏洞补丁的;使用dedecms建站,那么要不定期在后台升级补丁,这和使用windows系统一样,没有补丁便没法保证安全,不管多忙都要去后台升级补丁。
四、没有限制会员上传文件格式
Dedecms还是很强大的,不仅可以做内容网站,还可以做社区,支持投稿,支持和论坛数据加在一起等;不过,因为涉及到注册会员投稿什么的,那么要特别注意会员上传文件的格式,要在后台设置清楚允许上传的附件及图片,不少漏洞都是利用会员上传文件攻击的。
五、没有修改管理员账号及昵称
Dedecms管理员账号是admin,默认的管理员昵称同样是admin,这里的昵称便是发布文章时显示的发布者,为避免管理员账号泄露,那么一定要修改昵称,昵称在账号管理里可以修改,建议改为中文;至于管理员账号,在数据库里修改,避免别人已知账号暴力破密码。
六、没有修改后台地址或写入robots.txt
使用这类有后台的CMS,那么一定要修改后台地址,同时要补丁修改;不过呢,不少新手推测搜索引擎可能会收录到后台地址,于是乎在robots.txt中禁止收录后台目录,这样反而是此地无银三百两,让那些不坏好意的人有机可乘。如何书写robots.txt可以参照站长网。
七、网站出现问题轻易给出后台
身为站长,或多或少都会遇到网站改版或者网站中毒的问题,遇到这类问题的时候,难免要找人解决问题,论坛便有不少专门解决这类问题的人,不过这些人是好坏都有,不少人上Q后便直接说自己能解决问题,随后问后台地址及密码,这个时候站长千万不要激动,要先查看下对方的信息,不少不诚信的人便在这时候轻易控制你的网站添加黑链或潜在漏洞什么的。
不管怎样,不管别的CMS怎么宣传安全性和稳定性,还是无法阻挡广大站长使用dedecms,毕竟简单啊,简单易用才是王道,不过在方便的时候不要忘了这些容易服饰的安全问题哦。
相关文章
- 很多所谓的黑客都是用工具来扫描入侵,厉害点的人是不屑来黑我们的小网站的,所以我们一般做好安全防护就可以了。以下是我收集整理的内容,大家可以参考设置一下2015-10-09
织梦DEDECMS网站安全攻略之修改data目录名称方法步骤
这篇文章主要介绍了织梦DEDECMS网站安全攻略之修改data目录名称方法步骤,dedecms漏洞一真都比较多,修改掉默认data目录的名称相对来说会比较安全些,需要的朋友可以参考下2015-06-18- 这篇文章主要介绍了防止Dedecms入侵、漏洞问题的4点安全防范建议,需要的朋友可以参考下2014-04-08
- 随着Linux服务器应用范围越来越广泛,国内很多站长也开始使用它作为自己的Web服务器,本篇就来介绍如何在Linux系统环境下安装配置DedeCMS系统2013-06-15
- 因dedecms漏洞,大量dedecms网站被黑,请使用dedecms的用户,按照本文章处理2013-05-16
- 现在DEDECMS最新的5.7版本和5.7SP1版本后台都有个安全检测,data目录如果使用默认的名称,那么DEDE系统的安全肯定会大打折扣。相信大家都看到这样的提示:强烈建议将data目2012-02-20
- 关键字描述:知识 安全 防止 目录 权限 检查 文件 访问 服务器 用户 一、挂马前的安全措失 A、改更默认管理目录dede。 B、检查install目录里是否存在install.lock2009-06-06
- 关键字描述:说明 配置 安全 可以 不用 管理 目录 做掉 上传 发布 做好DEDECMS安全工作,有以下十个步骤,其实只有九个步骤,还有最后一个留给大家讨论和思考。 1、保2009-06-06
- 网上大家也看到DEDECMS这套程序,虽然便捷草根站长的快速建站,但安全问题也是非常多的,需要大家进行设置才可以使用,否则就变为别人挂马的网站了2016-11-03
最新评论