DEDECMS 这名词细想起来,我还是有一份特殊的感情的,当初做网站的时候,最早用的动易CMS2006,后来转PHP后,一直用的DEDECMS,只是现今不在用了而已,可以说,它造就了很多中小站长,是中小站长的福音,
DEDEcms安全设置指南
。下面就DEDECMS的安全设置,简单记录下。
1、尽量使用纯PHP的主机空间,如果非要使用WINDOWS,最好关闭非所有PHP支持;
2、更改默认的 www.2cto.com /dede/类管理地址;
3、给默认的admin管理帐号分配没有权限的用户组;
4、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读;
5、Linux主机针对uploads、data、templets 三个目录做执行php脚本限制;WINDOWS取消这三个目录的脚本运行权限;
6、及时关注官方补丁并及时打上补丁;
7、非必要,请关闭会员系统并删除member文件夹,实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制;
下面介绍下如何针对uploads、data、templets做PHP脚本限制:
对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置,
电脑资料
《DEDEcms安全设置指南》(https://www.unjs.com)。在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ –[F]
nginx环境规则内容如下:
location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
deny all;
}
DEDE官方针对安全也专门发表了一篇文章,大家可以去搜搜看看;