Dede应该是所有建站的程序员都了解的,应用的相当广泛,都是因为其突出的优点:开源、容易、优化简单。而其广泛的应用也使得dede有一个致命 的弱点,那就是安全性差到了极点。这也是开源带来的严重弊端,本人就因为其安全性问题而被害苦了,大家都知道现在百度推出了一个风险提示,一旦网站上存在 安全性问题,百度就会在搜索结果中显示风险提示,如果不尽快处理风险问题结果就是网站就基本上被判死刑了。以下是整理一些网上大家对dede的安全操作。
1 安装完程序或对程序进行升级之后,一定要把install(安装)或update(升级)文件夹删除,这样可以减少被攻击的范围。除了install文件 夹外,能删除的文件夹要看具体使用情况。比如不需要会员功能可以把member文件夹删除,不需要专题功能可以删除special文件夹,需要的话可以把 special文件夹设置为可读写,不可执行。另外,在安装的时候也可以修改dede数据名的前缀。
2 把data文件夹改名,增加挂马的程序找到你后台路径的难度。接着就是要把默认的admin登陆名改掉,在这里为大家提供一个很简单的方法,就是直间写入 sql命令,在dede的后台管理的系统/SQL命令行工具里输入语句:update dede_admin set userid="new userid" where id=1;这里的new userid代表了你要修改的用户名,顺便可以把密码修改的复杂些,并可以定期修改下你的密码甚至是登陆名,用刚才的sql语句。
3 设置目录的权限,这个很重要。笔者是按照dede的后台里的安全建议执行的:有条件的用户把 data,templets,uploads,html,special,images,install目录设置为不允许执行脚本,其他目录禁止写入,系 统将更安全。注意,这里的install删除更安全,象笔者的网站不需要special的,也是删除更安全。至于怎么设置dedecms的目录权限,官网 的天涯对不同的环境有具体的设置,大家可以根据自己的环境参考一下。除了上面建议的一些目录外,把生成的网页所在的文件夹也设置为不允许执行脚本,这样, 整个网站会更安全。除了这些目录权限的设置,data文件夹下的common.inc.php文件(Linux/Unix)设置为644或 (Windows NT)设置为只读。
4 定期检查dedecms有没有更新,及时打上补丁。有两个途径,一个可以在后台点击在线更新,另外可以进官网看下更新时间,在官网的右上角,更新很重要,一定要常检查,补丁出来了,往往意味着一批网站已经被挂木马了。
5 针对已挂马的情况,网上有很多检查和杀毒的软件,大家可以上百度查找。这里给大家介绍一种比较傻瓜式的方法:常备份网站。一旦发现自己的网站挂马了,用文件比较工具比较备份和现有网站有差异的文件,重点查看。实在找不到木马的话,可以进行覆盖。
Dede就是一个漏洞大全,不做必要的安全措施,想不被挂马,那基本上是不可能的,而一些高权重的网站,更是各种木马喜欢光顾的地方。网站做的再 好,权重再高,少了安全性,那一些都是空的,哪有不挨刀的是不是。不过还是建议一些对安全性要求高的,比如一些大企业、政府部门等的网站,应该舍弃 dede,而改用其他安全性高的,或者干脆自己开发。这会少去很多麻烦。