說到織夢網站,很多站長的第一反應就是最容易被掛馬,其實峰峰也遇到過,誰叫織夢站多呢?黑客自然樂意攻擊。雖然是調侃,但是我們織夢站長卻樂不起來了,可以說防掛馬是織夢站長的必修課,哪天網站被黑后悔都來不及。下面是尹華峰SEO博客搜集整理的織夢安全手冊,通過以下設置可以顯著的提高織夢的安全性。
只要完成基礎篇的設置,那么恭喜你,你的織夢安全已經及格了,相反,如果你沒有按照基礎篇的做,那么你的網站岌岌可危。
一、刪除不必要的目錄
安裝好織夢后,需要立即刪除install目錄,如果不需要使用會員、專題(99%的用戶都用不到),可以直接刪除member、special目錄。
二、刪除不必要的文件
plus文件建議只保留如下文件:ad_js.php,count.php,list.php,search.php,view.php,其余的刪除。
plus文件夾中的文件功能如下表,如果沒用到可以刪除。
| 文件名 | 文件說明 | 建議 |
|---|---|---|
| guestbook文件夾 | 留言板 | 刪除 |
| img文件夾 | 圖片 | 刪除 |
| task文件夾 | 計劃任務 | 刪除 |
| ad_js.php | 調用廣告,如果你的廣告不是通過后臺“廣告管理”設置的,可以刪除該文件 | 保留 |
| advancedsearch.php、heightsearch.php | 高級搜索,一般只用到search.php | 刪除 |
| arcmulti.php | 異步方式調用指定的tag列表,用不到,刪除吧 | 刪除 |
| bookfeedback.php、bookfeedback_js.php | 圖書評論和評論調用文件,存在注入漏洞,不安全 | 刪除 |
| car.php、posttocar.php、carbuyaction.php | 購物車 | 刪除 |
| comments_frame.php | 調用評論,存在安全漏洞(現在一般都用第三方評論,不再用織夢自帶的評論) | 刪除 |
| count.php | 統計文章閱讀次數 | 保留 |
| digg_ajax.php、digg_frame.php | 文章的頂踩功能 | 刪除 |
| disdls.php、download.php | 下載次數統計、下載功能 | 刪除 |
| diy.php | 自定義表單 | 保留 |
| erraddsave.php | 文章糾錯 | 刪除 |
| feedback.php、feedback_ajax.php、feedback_js.php | 評論相關功能 | 刪除 |
| flink.php、flink_add.php | 友情鏈接、友情鏈接添加(建議刪除,否則容易暴露模板路徑) | 刪除 |
| freelist.php | 自由列表 | 刪除 |
| guestbook.php | 留言 | 刪除 |
| list.php | 動態瀏覽欄目頁 | 保留 |
| mytag_js.php | 自定義標簽js調用方式(如果沒用到后臺的自定義宏標記,請刪除) | 刪除 |
| qrcode.php | 生成二維碼 | 刪除 |
| recommend.php | 信息推薦 | 刪除 |
| rss.php | RSS列表頁 | |
| search.php | 搜索 | 保留 |
| showphoto.php | 顯示大圖片(圖集模型會用到) | 刪除 |
| stow.php | 收藏文章 | 刪除 |
| view.php | 動態瀏覽文章 | 保留 |
| vote.php | 投票 | 刪除 |
三、修改默認后臺文件夾名稱
默認的后臺通過域名/dede訪問,請修改為其他名稱,越不容易被猜出來越好,可以使用英文+數字等形式。修改方式為直接重命名dede文件夾的名稱即可。
四、后臺新建新的管理員賬戶,刪除默認的admin用戶
1.新建管理員賬戶
點擊系統->系統用戶管理->增加管理員,填寫登錄賬戶及密碼等信息,用戶組選擇‘超級管理員’
2.刪除默認的admin用戶
點擊系統->SQL命令行工具,運行SQL命令:delete from dede_admin where id = 1;
五、遷移data目錄到web目錄外
data目錄存在比較嚴重的安全隱患,很有必要將data目錄移動到站點目錄以外。實在沒有條件遷移到站外的同學,也請一定要將data目錄改一個名字。
溫馨提示:可以根據自己站點的需求刪除或者保留,降低隱患,修改前請做好備份。
