說(shuō)到織夢(mèng)網(wǎng)站,很多站長(zhǎng)的第一反應(yīng)就是最容易被掛馬,其實(shí)峰峰也遇到過(guò),誰(shuí)叫織夢(mèng)站多呢?黑客自然樂(lè)意攻擊。雖然是調(diào)侃,但是我們織夢(mèng)站長(zhǎng)卻樂(lè)不起來(lái)了,可以說(shuō)防掛馬是織夢(mèng)站長(zhǎng)的必修課,哪天網(wǎng)站被黑后悔都來(lái)不及。下面是尹華峰SEO博客搜集整理的織夢(mèng)安全手冊(cè),通過(guò)以下設(shè)置可以顯著的提高織夢(mèng)的安全性。
只要完成基礎(chǔ)篇的設(shè)置,那么恭喜你,你的織夢(mèng)安全已經(jīng)及格了,相反,如果你沒(méi)有按照基礎(chǔ)篇的做,那么你的網(wǎng)站岌岌可危。
一、刪除不必要的目錄
安裝好織夢(mèng)后,需要立即刪除install目錄,如果不需要使用會(huì)員、專題(99%的用戶都用不到),可以直接刪除member、special目錄。
二、刪除不必要的文件
plus文件建議只保留如下文件:ad_js.php,count.php,list.php,search.php,view.php,其余的刪除。
plus文件夾中的文件功能如下表,如果沒(méi)用到可以刪除。
| 文件名 | 文件說(shuō)明 | 建議 |
|---|---|---|
| guestbook文件夾 | 留言板 | 刪除 |
| img文件夾 | 圖片 | 刪除 |
| task文件夾 | 計(jì)劃任務(wù) | 刪除 |
| ad_js.php | 調(diào)用廣告,如果你的廣告不是通過(guò)后臺(tái)“廣告管理”設(shè)置的,可以刪除該文件 | 保留 |
| advancedsearch.php、heightsearch.php | 高級(jí)搜索,一般只用到search.php | 刪除 |
| arcmulti.php | 異步方式調(diào)用指定的tag列表,用不到,刪除吧 | 刪除 |
| bookfeedback.php、bookfeedback_js.php | 圖書評(píng)論和評(píng)論調(diào)用文件,存在注入漏洞,不安全 | 刪除 |
| car.php、posttocar.php、carbuyaction.php | 購(gòu)物車 | 刪除 |
| comments_frame.php | 調(diào)用評(píng)論,存在安全漏洞(現(xiàn)在一般都用第三方評(píng)論,不再用織夢(mèng)自帶的評(píng)論) | 刪除 |
| count.php | 統(tǒng)計(jì)文章閱讀次數(shù) | 保留 |
| digg_ajax.php、digg_frame.php | 文章的頂踩功能 | 刪除 |
| disdls.php、download.php | 下載次數(shù)統(tǒng)計(jì)、下載功能 | 刪除 |
| diy.php | 自定義表單 | 保留 |
| erraddsave.php | 文章糾錯(cuò) | 刪除 |
| feedback.php、feedback_ajax.php、feedback_js.php | 評(píng)論相關(guān)功能 | 刪除 |
| flink.php、flink_add.php | 友情鏈接、友情鏈接添加(建議刪除,否則容易暴露模板路徑) | 刪除 |
| freelist.php | 自由列表 | 刪除 |
| guestbook.php | 留言 | 刪除 |
| list.php | 動(dòng)態(tài)瀏覽欄目頁(yè) | 保留 |
| mytag_js.php | 自定義標(biāo)簽js調(diào)用方式(如果沒(méi)用到后臺(tái)的自定義宏標(biāo)記,請(qǐng)刪除) | 刪除 |
| qrcode.php | 生成二維碼 | 刪除 |
| recommend.php | 信息推薦 | 刪除 |
| rss.php | RSS列表頁(yè) | |
| search.php | 搜索 | 保留 |
| showphoto.php | 顯示大圖片(圖集模型會(huì)用到) | 刪除 |
| stow.php | 收藏文章 | 刪除 |
| view.php | 動(dòng)態(tài)瀏覽文章 | 保留 |
| vote.php | 投票 | 刪除 |
三、修改默認(rèn)后臺(tái)文件夾名稱
默認(rèn)的后臺(tái)通過(guò)域名/dede訪問(wèn),請(qǐng)修改為其他名稱,越不容易被猜出來(lái)越好,可以使用英文+數(shù)字等形式。修改方式為直接重命名dede文件夾的名稱即可。
四、后臺(tái)新建新的管理員賬戶,刪除默認(rèn)的admin用戶
1.新建管理員賬戶
點(diǎn)擊系統(tǒng)->系統(tǒng)用戶管理->增加管理員,填寫登錄賬戶及密碼等信息,用戶組選擇‘超級(jí)管理員’
2.刪除默認(rèn)的admin用戶
點(diǎn)擊系統(tǒng)->SQL命令行工具,運(yùn)行SQL命令:delete from dede_admin where id = 1;
五、遷移data目錄到web目錄外
data目錄存在比較嚴(yán)重的安全隱患,很有必要將data目錄移動(dòng)到站點(diǎn)目錄以外。實(shí)在沒(méi)有條件遷移到站外的同學(xué),也請(qǐng)一定要將data目錄改一個(gè)名字。
溫馨提示:可以根據(jù)自己站點(diǎn)的需求刪除或者保留,降低隱患,修改前請(qǐng)做好備份。
