織夢DEDECMS安全防護設定及漏洞修復

2021-10-01 02:49:29 字數 3800 閱讀 9227

member 會員資料夾整個刪除

special 專題資料夾整個刪除

install 安裝資料夾整個刪除

robots.txt 檔案刪除

刪除 /templets/default 官方預設模板這個資料夾(在你自己有模板的情況下,如果沒有,請勿刪除)。

刪除plus資料夾除下列檔案外的所有檔案,保留下面幾個檔案。

/plus/img (資料夾)

/plus/count.php

/plus/diy.php

/plus/list.php

/plus/search.php

/plus/view.php

開啟/include/dialog/select_soft_post.php搜尋

$fullfilename


=$cfg_basedir


.$activepath


.'/'


.$filename


;
在它上面加入

if


(preg_match


('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-za-z0-9]+$#i'


,trim


($filename))


)
開啟/dede/media_add.php找到(dede是你**管理後台目錄名稱)

$fullfilename


=$cfg_basedir


.$filename


;
在它上面加入

if


(preg_match


('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-za-z0-9]+$#i'


,trim


($filename))


)
開啟/dede/config.php搜尋

if(!


isset


($token)||


strcasecmp


($token


,$_session


['token'])


!=0)" pattern=


"data"


/>


"" pattern=""/


>


<


/conditions>


"abortrequest"


/>


<


/rule>


"block templets" stopprocessing=


"true"


>


"^templets/(.*).php$"


/>


"matchany"


>


"" pattern=


"templets"


/>


"" pattern=""/


>


<


/conditions>


"abortrequest"


/>


<


/rule>


"block somerobot" stopprocessing=


"true"


>


"^uploads/(.*).php$"


/>


"matchany"


>


"" pattern=


"somerobot"


/>


"" pattern=""/


>


<


/conditions>


"abortrequest"


/>


<


/rule>
nginx環境

這段配置**一定要放在 location ~ .php(.*)$ 的前面才可以生效,配置完後記得重啟nginx生效。

location ~*/


(a|data|templets|uploads|images)/(


.*).


(php)$
寶塔面板在配置檔案裡面。加在紅框上面即可。如下圖

給所有站加上的話。請開啟下面路徑,根據你的php版本找到相應的檔案。我這裡是5.4版本的。

在最上面新增上面**,然後重啟服務。親測有效。

檢測設定成功的方法,新建乙個隨意內容的php檔案放到a|data|templets|uploads任意資料夾,如果訪問出現4.3錯誤,說明設定正常。如果顯示你剛才設定的內容,剛是失敗。按步驟好好檢測一下看看是不是設定錯誤。

網上有乙個爆**後台的方法:就是訪問/data/mysql_error_trace.inc或者/data/mysqli_error_trace.inc,分析裡面的**來爆**後台。可在偽靜態配置檔案裡加入下面**即可,這是nginx下的配置檔案,親測有效,其他執行環境自行轉換

location /data
這樣,訪問data的檔案全都會提示404錯誤。親測有效!

我們可以關閉這個生成這個檔案

方法:開啟/include/dedesql.class.php找到

//儲存mysql錯誤日誌


$fp= @fopen


($errortrackfile


,'a');


@fwrite


($fp


,'.'?php exit();'


."\r\n/*\r\n


\r\n*/\r\n?"


.">\r\n");


@fclose


($fp


);
這幾行刪除就行了,如果你的 data 資料夾裡面有mysql_error_trace.inc檔案,記得刪除它。

同理我們還可以設定禁止訪問plus|templets|uploads等目錄

location /plus 


location /templets 


location /uploads
將**新增到\data\common.inc.php這個檔案或者是你想防護的頁面即可。

注意:新增後可能導致寫文章不能寫包含php、sql入駐等**,比較雞肋。

function


gjj(


$str


)function


hg_input_bb


($array)}


else


return


$array;}


$_request


=hg_input_bb


($_request);


$_get


=hg_input_bb


($_get);


$_post


=hg_input_bb


($_post


);

做好織夢dedecms安全防護全部方法

很多同學遇到 被攻擊掛馬,大都不是競爭對手所為。多數情況下是黑客利用工具批量掃瞄入侵的。因此安全防護自關重要。修改預設資料庫字首 在dedecms安裝的時候修改下資料庫的表字首,盡量不用預設的字首dede 隨便改個其他的英文本母小寫命名即可。以防止黑客猜到。1.修改預設後台路徑 作用 是防止黑客猜到...

織夢 安全設定

1 以下目錄 data templets uploads a設定可讀寫不可執行許可權。其中a目錄為文件html預設儲存路徑,可以在後台進行更改 2 以下目錄 include member plus dede設定為可讀可執行不可寫入許可權。其中後台管理目錄 預設dede 可自行修改 3 如果不需要使用...

織夢安全設定

一 盡量不要使用香港 國外等虛擬空間。所以,極力推薦大家使用阿里雲 為了安全起見,建議先儲存備份,以下教程是ab模板網的總結經驗,本人也是這樣設定,並且沒有任何問題 二 本身做好防範 1 修改預設後台名。開啟 根目錄,找到 dede 這個資料夾就是後台的路徑,可以隨意修改,比如修改為 adminbu...