• 域名认证
  • 模板:390
  • 文库:144|
  • 网赚:0|
  • 资源:21|
织梦程序安全设置的思考及操作

织梦程序安全设置的思考及操作

浏览次数:
作者: 小工
信息来源: 未知
更新日期: 2019-03-16 02:45
文章简介

织梦阁网站停止更新大约有2年多的时间了,期间自身工作繁忙,无暇顾及网站。前段时间访问网站,竟然N多的小马,更甚者,织梦阁整站的数据竟被别的平台贩卖,想想让别人卖,还不如自己

打赏此文

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

  • 正文开始
  • 相关阅读
  • 推荐作品

织梦阁网站停止更新大约有2年多的时间了,期间自身工作繁忙,无暇顾及网站。前段时间访问网站,竟然N多的小马,更甚者,织梦阁整站的数据竟被别的平台贩卖,想想让别人卖,还不如自己来,近期把原有的模板整理一下,将会发布在免费模板栏目。供大家无偿下载。


想想这个安全问题,真的很重要。今天整理一下有关织梦模板建站中,安全设置的问题。 按照网站的 安装--模板制作---上线,这么一个时间线来阐述。 

一、数据库前缀

安装时可以自定义数据库的表名前缀,默认是dede_,这个可以自定义,只是后续要二次开发的话,会涉及更改的环节较多,具体就看自己的实际情况。 

二、后台登录账号密码

安装的时候需要设置后台账号密码,这个账号密码一定要自定义。 

三、data目录(必须处理,70%的安全问题由此引起)

data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患。我们可以将其改名,或者最好是移到Web运行目录以外。

1 先说修改目录名。
1)、修改include目录下的common.inc.php这个文件。打开文件,找到第16行:
define('DEDEDATA', DEDEROOT.'/data');
把data修改成为您要改的目录名,如:改为asdfg,那么则改为:
define('DEDEDATA', DEDEROOT.'/asdfg');
2)、用FTP把data目录改名asdfg,也就是跟第一步改的文件名一样。
3)、在网站后台,系统-系统基本参数-性能选项,“模板缓存目录:”改为:/asdfg/tplcache。
这样就基本改完成了,不过现在还有些问题。打开网站目录你会发现,自己跳到安装文件了。不用急,修改一下网站根目录的index.php这个文件,把文件最前面的几行注释掉,注释如下,也就是在代码前面加//:
//if(!file_exists(dirname(__FILE__).'/data/common.inc.php')) //{ //    header('Location:install/index.php'); //    exit(); //}
这样,你的网站就可以正常打开了。在后台更新的时候,还是有问题,网站地图跟RSS、JS这几项更新有问题,那么我们只需要在网站根目录下新建个data目录,然后data目录下再分别新建rss和js两个目录,这样就可以了,再更新一下看看,是不是都正常了呢?
注:上面提到的更改目录为asdfg,其中asdfg可以自由更换成你想要的目录名称。

2 再说移动date目录 。
1)一般虚拟主机,会有一个网站执行目录(这里简称web目录),例如web;www;wwwroot等,这里说的的移动date目录,就是将date完全剪切到web目录以外,一般就是让date和web在同一目录中,是平级的。 
2)找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。
3)配置tplcache缓存文件目录,进入系统后台,在配置中修改tplcache目录为你想对目录。
这样我们就将data目录顺利迁移出去了。
注意:本操作目前仅在V57系统中测试有效,其他版本系统可能需要进行调整。

四、目录删除和改名

1、首先删除install目录;
2、删除member目录,这个是会员功能目录,如果确实需要用到会员功能,那也得改名,具体可以参考站内其它文章,篇幅较长,再次略过。
3、删除special目录,这个专题功能;
4、织梦默认的栏目、文章存储在a文件夹内,从SEO的方面考虑,要将URL简化,各栏目的目录直接生成在网站根目录较好,目录名自定义,这个a目录删除即可; 
5、默认的后台管理目录dede,这个名字自定义修改,例如改成abc,那么你的后台地址就是,你的域名/abc/  .

五、文件删除

1、管理目录(默认的dede目录)下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php 
file_manage_main.php 
file_manage_view.php 
media_add.php 
media_edit.php 
media_main.php
2、不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除;不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

六、文件夹及文件权限

1、修改/data/common.inc.php 这个文件权限为444,只能读取
2、以下各目录详细设置;
/ 【站点根目录】 
需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限 //0755
/dede 【后台程序目录】
需求有执行权限和读取权限 //建议安装完成以后修正目录名称 //0755
/include 【主程序目录】
需求有写入、执行权限和读取权限 //0755 //建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555
/member 【会员目录】
需求执行读取和权限 //建议去掉写入权限以及修正权限//0555
/plus 【插件目录】
需求有读取、写入和执行的权限 //建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755
/data 【站点缓存数据等文件】
需求有读取权限和写入修正权限 //建议去掉执行权限//0666
/a 【存放网站栏目和文章的目录,默认a目录】
需求有读取修正和创建权限 //建议去掉执行权限 //0666
/templets【模板目录】
需求有读取 修正写入 权限 //建议去掉执行权限 //0666
/uploads 【附件目录】
需求写入读取权限 //建议去掉执行权限//0666
/special 【专题文件目录】
需求执行、读取、写入和修正权限 //0755

七、总结篇

1、织梦目前很少打补丁了,有的话及时更新;
2、尽量使用Linux系统的服务器,安全性和性能比win好很多; 
3、服务器有一些安全防护软件最好了,云锁之类的;
4、大多数被上传的脚本集中在plus、data、data/cache三个目录下,请时常仔细检查三个目录下最近是否有被上传文件;



转载请注明: 织梦阁 » 织梦程序安全设置的思考及操作

标签: 织梦安全
关于火车头采集器标签组合功能的使用说明
« 上一篇2019-03-08
  • dede织梦后台页面及功能
    1214阅读
    先让我们来看看都有哪些页面控制着后台的功能和显示。下方为系统默认的后台界面图,为了便于下面的说明我对各个部分进行了一些标示。共A、B、C、D、E五个区域。常… 先让我们来看看都有哪些页面控制着后台的功能和显示。下方为系统默认的后台界面图,为了便...
  • 拓展channel标签实现li
    326阅读
    由于网站栏目多次需要调用同一栏目下的栏目比如顶级栏目6 下级栏目5.4.3.2.1 需要分两次分别调出543和21 感觉channel就比较吃力了全部写SQL又太多,可能是我还不知道有其他方法吧。row调用不出这种效果所以就把row改为了Limit用法了比较方便 修改文件include...
  • 说说DedeCMS提示“系统无
    302阅读
    可能一些朋友遇到过这样的问题,这个问题提示的错误信息如下: 系统无此标签,可能已经移除! 你还可以尝试通过搜索程序去搜索这个关键字:前往搜索 如果你的浏览器没反应,请点击这里... 该问题可能出现的前提一:DEDECMS标签中包含“大写字母” 解决方法:...
  • 如何实现在列表页中间
    2185阅读
    dede文档列表每隔5条插入一条广告: DEDECMS织梦列表页每隔N行文章添加一条广告(也可以自定义改为虚线、实线等),代码如下: {dede:arclist row=30 titlelen=50 orderby=pubdate} lispan[field:stime/]/spana href=[field:arcurl/] target=_blank[field:titl...
  • 有短标题则显示短标题
    365阅读
    [field:array runphp=yes] if (@me[shorttitle]==) @me=@me[title];else @me=@me[shorttitle];[/field:array]...
  • 织梦栏目列表页和tag标
    1372阅读
    一直在研究织梦程序,也一直在研究织梦程序SEO优化的路上。 今天和大家说的是关于织梦栏目列表页和tag标签列表页的标题SEO优化细节。 之前也从来没有考虑这个列表页的问题,今天查看网站...
  • 火车头织梦发布模型的
    469阅读
    1、必选参数 title 标题 body 内容 typeid 主栏目ID,必填,可在后台网站栏目管理处查看该id username 用户名,必须使用网站上已存在的用户名,默认是随机用户名,用户需要在模块中设置 pw 验证密...
  • 关于织梦生成html速度很
    1716阅读
    用织梦CMS搭建的网站,当文章量稍微大一点的话,生成一次静态html文件,将是非常痛苦的一件事情。 今天不考虑服务器性能,只是在织梦程序本身找到一些思路,给生成静态文件提点速度。...
  • 关于制作织梦的网站地
    1594阅读 织梦SEO 网站地图
    关于网站地图对于网站SEO的重要性,在这里就不多说了,这里主要和大家分享的是织梦 sitemap.xml格式的网站地图制作实例。 此次主要借用了织梦的自由列表。 第一步:用编辑器制作一个 xml格式的模板文件,名称为 sitemap.xml ,制作好后放到你的模板目录中,...
  • 关于织梦缩略图 有则显
    2709阅读 织梦缩略图
    今天的项目是一个织梦CMS模板搭建的博客站对其进行改版,该网站有大约一万多条文章,大部分文章当初添加时没有图片,改版后的文章列表页面调用了缩略图,织梦默认的话是没有缩略图就显示自定义的那张 defaultpic.gif ,这样的话列表页的缩略图就是同一张了,...
  • 织梦调用网站建站天数
    1443阅读 建站天数调用
    今天有个需求是要在织梦CMS搭建的网站上调用网站的建站天数,织梦本身没有这个标签,只能是动手来实现了。 首先在需要调用的页面加以下代码: scriptvar s1 = '2008-05-24';//设置为你的建站时间s1 = new Date(s1.replace(/-/g, "/"));s2 = new Date()var da...
  • 织梦CMS建站前期必须要
    2082阅读 织梦安全
    Dedecms安全步骤,安装之后的操作 1将后台文件夹dede改名为其他,比如 /baidu/,这个随自己意愿改即可,防止别人找到你的后台地址。 2搜索ad.dedecms.com,文件dede\templets\login_ad.htm删除如下这一段: !--scripttype="text/JavaScript"src="?PHPecho$upd...
  • 织梦Dedecms5.7默认数据库
    4358阅读 织梦数据库 织梦介绍
    1、dede_addonarticle:附加文章表 表名:dede_addonarticle (ENGINE=MyISAM/CHARSET=utf8) 说明:附加文章表 字段名 说明描述 具体参数 aid 文章ID mediumint(8) unsigned NOT NULL default '0' typeid 栏目ID smallint(5) unsigned NOT NULL default '0' b...
  • 织梦dede5.7中各函数所在
    2324阅读 织梦函数
    /include/taglib/tag.lib.php 2 //function GetTags() /include/payment/yeepay.php 415 function log_result() /dede/stepselect_main.php 204 function __addenum_save() /dede/stepselect_main.php 147 function __addnew_save() /dede/sys_data_replace....
  • 对于织梦CMS各目录内文
    1477阅读 织梦文件说明
    鉴于很多新手朋友不知道织梦很多目录和文件具体有何作用,而现互联网亦没有相对全面的dedecms文件目录解说,so,织梦新手网在相对全面的基础上整理了以下目录文件,510源码网首发。 以下一些目录对应的文件和代表的含义均是在相对详细下完成的,如若有错误请...
  • 织梦CMS常用的几种字段
    4667阅读 织梦标签
    我们在使用织梦CMS制作网站时,对于某个字段,无论是默认字段还是自定义字段,偶尔会使用一些判断语句来实现我们的需求。下边列出了几种常见的需求。以及字段的判断输出实例。 第一种:...
  • 说说织梦CMS建立视频栏
    1200阅读 织梦视频栏目
    今天和大家分享的是关于织梦CMS程序建立视频栏目的相关思路和技巧。 需求背景: 通过织梦建立的网站,需要一个视频栏目,放比较多的视频;或者是需要在首页部位放置一个视频。 难点分析: 关于播放器和插件的问题不是今天的重点,重点是把原始视频上传到优酷...
  • dedecms怎么批量删除TA
    1486阅读 织梦技术
    dedecms怎样批量删除TAG标签呢? 在dedecms的后台的核心—批量维护—TAG标签管理里我们可以删除TAG标签,但是这样如果我们的TAG标签很多的时候,这样操作会很累。 要批量的删除TAG标签,那我们就只能在数据库里做修改了。 登录数据库,在数据库里执行以下SQL...
  • 织梦dede自带采集插件视
    2562阅读 织梦技术
    看到很多网友都为织梦(DEDE CMS)的采集教程头疼,的确,官方出的教程太笼统了,什么都没说,换个网站你什么都做不了,这个教程是最详尽的教程,让你一看即会 首先我们打开织梦后台点击 采集——采集节点管理——增加新节点 这里我们以采集普通文章为例,我...
  • DEDECMS文章模型整合下载
    2542阅读 织梦二次开发
    本教程为站长似水星辰原创,转载注明出处。 注:本教程中的金币和会员组设置只针对下载连接有效。不对文章内容生效,和文章本身的阅读权限和消费金币并不冲突,是分开设置的。文章中...
  • 织梦CMS常用的几种字段
    4667阅读 织梦标签
    我们在使用织梦CMS制作网站时,对于某个字段,无论是默认字段还是自定义字段,偶尔会使用一些判断语句来实现我们的需求。下边列出了几种常见的需求。以及字段的判断输出实例。 第一种:...
  • 织梦Dedecms5.7默认数据库
    4358阅读 织梦数据库 织梦介绍
    1、dede_addonarticle:附加文章表 表名:dede_addonarticle (ENGINE=MyISAM/CHARSET=utf8) 说明:附加文章表 字段名 说明描述 具体参数 aid 文章ID mediumint(8) unsigned NOT NULL default '0' typeid 栏目ID smallint(5) unsigned NOT NULL default '0' b...
  • 关于织梦缩略图 有则显
    2709阅读 织梦缩略图
    今天的项目是一个织梦CMS模板搭建的博客站对其进行改版,该网站有大约一万多条文章,大部分文章当初添加时没有图片,改版后的文章列表页面调用了缩略图,织梦默认的话是没有缩略图就显示自定义的那张 defaultpic.gif ,这样的话列表页的缩略图就是同一张了,...
  • 织梦DEDECMS调用导航栏的
    2644阅读
    织梦调用导航菜单栏目,随着javascript的运用,导航栏的子栏目越来越多,在dedecms如何实现这些栏目的调用呢? 1. 一般导航栏目的调用,该类栏目只有主栏目,没有子栏目,这类栏目一般适用于企业网站和个人网站。其样式图如下: 该类栏目的dedecms调用方法比...
  • 织梦dede自带采集插件视
    2562阅读 织梦技术
    看到很多网友都为织梦(DEDE CMS)的采集教程头疼,的确,官方出的教程太笼统了,什么都没说,换个网站你什么都做不了,这个教程是最详尽的教程,让你一看即会 首先我们打开织梦后台点击 采集——采集节点管理——增加新节点 这里我们以采集普通文章为例,我...
  • DEDECMS文章模型整合下载
    2542阅读 织梦二次开发
    本教程为站长似水星辰原创,转载注明出处。 注:本教程中的金币和会员组设置只针对下载连接有效。不对文章内容生效,和文章本身的阅读权限和消费金币并不冲突,是分开设置的。文章中...
  • 织梦dede5.7中各函数所在
    2324阅读 织梦函数
    /include/taglib/tag.lib.php 2 //function GetTags() /include/payment/yeepay.php 415 function log_result() /dede/stepselect_main.php 204 function __addenum_save() /dede/stepselect_main.php 147 function __addnew_save() /dede/sys_data_replace....
  • 织梦自定义表单添加提
    2262阅读 织梦二次开发 自定义表单
    在网上找了很久,织梦论坛也找个遍结果很失望,不解释,大家都懂得! 首先自定义表单,然后添加字段,比如联系人(单行文本),联系方式(单行文本),地址(单行文本),留言内容(单行文本), 留言时间(单行文本 ) 等字段 注意:留言时间这里不要选择时...
  • 织梦DedeCms 5.7如何做淘
    2238阅读 织梦基础 织梦二次开发
    关于百度不收录淘宝客链接是如此的坑爹,所以我们现在要找办法解决这个问题。 首先,给模型添加一个新字段用来保存淘宝客链接 然后 模板 内容页中用 1 a href = {dede:field name=phpurl/}/url.php?id={dede:field name=id/} target = _blank 淘宝客链接/ a...
  • 如何实现在列表页中间
    2185阅读
    dede文档列表每隔5条插入一条广告: DEDECMS织梦列表页每隔N行文章添加一条广告(也可以自定义改为虚线、实线等),代码如下: {dede:arclist row=30 titlelen=50 orderby=pubdate} lispan[field:stime/]/spana href=[field:arcurl/] target=_blank[field:titl...
  • 织梦CMS建站前期必须要
    2082阅读 织梦安全
    Dedecms安全步骤,安装之后的操作 1将后台文件夹dede改名为其他,比如 /baidu/,这个随自己意愿改即可,防止别人找到你的后台地址。 2搜索ad.dedecms.com,文件dede\templets\login_ad.htm删除如下这一段: !--scripttype="text/JavaScript"src="?PHPecho$upd...
  • 如何在DEDE列表页中调用
    2039阅读
    下面方法可以实现 青岛网站建设 DEDE列表页中调用下载地址,实现点击列表标题直接下载对应附件,如下图: 实现方法如下:首先在文章模型增加一个自定义字段,数据类型为附件类型,选择… 下面方法可以实现DEDE列表页中调用下载地址,实现点击列表标题直接下...
  • 关于织梦生成html速度很
    1716阅读
    用织梦CMS搭建的网站,当文章量稍微大一点的话,生成一次静态html文件,将是非常痛苦的一件事情。 今天不考虑服务器性能,只是在织梦程序本身找到一些思路,给生成静态文件提点速度。...
  • 关于制作织梦的网站地
    1594阅读 织梦SEO 网站地图
    关于网站地图对于网站SEO的重要性,在这里就不多说了,这里主要和大家分享的是织梦 sitemap.xml格式的网站地图制作实例。 此次主要借用了织梦的自由列表。 第一步:用编辑器制作一个 xml格式的模板文件,名称为 sitemap.xml ,制作好后放到你的模板目录中,...
  • 说说织梦CMS网站程序视
    1486阅读
    1.项目要求: 织梦5.7搭建的网站,需要建立视频栏目,主要发布网站建设类视频教程,每个主题教程有多集视频,每个主题教程需要有封面 ,单个视频页面需要有同主题内的其它视频连接。...