当前位置:
首页 > 网站相关 > 网站系统 > dede > DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

data目录移除到其他目录方法

被挂马后绿色安装方法-最快恢复方法

DEDECMS安全设置取消执行php脚本限制设置方法 

DEDECMS安全设置可防止dedecms被挂马,对外发包漏洞,取消执行php脚本限制设置方法

原因:最近很多使用dedecms的站长都被被挂马,或种下后门,因为用的人多,研究的人也多防不胜防,所有dedecms安全设置就非常必要了,

dedecms的安全建议:将data、templets、uploads、html、special、images、install目录设置为不允许执行脚本,其它目录禁止写入,后台等到处可见,但是95%的用户都没有设置。

其实dedecms官方网站也给出了一些安全设置的参考,但是那是大技术师说的,并且说给技术人员看的,并不通俗易懂,其实下面的文章都是根据这个而来,再继续往下看:

首先:服务器安全设置之 IIS用户设置方法,其实各个网站独立用户才比较安全

网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,像DedeCMS系统,可写入的有两个目录data、uploads,data目录主要是基本配置文件和缓存数据,uploads则是附件上传保存的目录,本篇将针对不同服务器环境来介绍如何取消这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执行权限,这样系统会更为安全。

Windows下的IIS IIS6.0

打开IIS中站点,在站点uploads、data、images、templets目录以及静态html生成目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。(如图1)

其实dedecms官方网站也给出了一些安全设置的参考,但是那是大技术师说的,并且说给技术人员看的,并不通俗易懂,其实下面的文章都是根据这个而来,再继续往下看:

首先:服务器安全设置之 IIS用户设置方法,其实各个网站独立用户才比较安全。

网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,像DedeCMS系统,可写入的有两个目录data、uploads,data目录主要是基本配置文件和缓存数据,uploads则是附件上传保存的目录,本篇将针对不同服务器环境来介绍如何取消这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执行权限,这样系统会更为安全。

Windows下的IIS IIS6.0

打开IIS中站点,在站点uploads目录、data目录以及静态html生成目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。(如图)

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

IIS7

IIS7也类似于IIS6.0,选择站点对应的目录,data、uploads及静态html文件目录,双击功能试图面板中的“处理程序映射”

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

在“编辑功能权限……”中,我们直接去除脚本的执行权限即可。

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

其实上面只是介绍了如果取消执行权限,根据官方的推荐还需要设置目录写权限的设置方法,这里浪外在线简单的介绍下

例如a目录,一般是生成静态页面用的,那么我们就需要服务器端设置(dederun是iis中运行网站匿名用户)

对include plus 等目录不需要写入权限的,配置拒绝写入,以防止被上传到那目录下执行木马程序。

对Linux主机而言,执行权限得这样配置

 

Apache下目录脚本的执行权限设置

独立主机配置

在Apache中,没有Windows 下IIS的图形管理界面,我们需要手工修改下apache的配置文件,来进行目录脚本的执行权限的设定。
首先我们找到apache的配置文件httpd.conf,通常情况下,该配置文件在apache安装目录下的conf文件夹中(如图4)。

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

(图4)

打开httpd.conf文件,找到内容中如图5的位置:

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

(图5)

 

将需要限制执行脚本文件的目录配置添加到下方:

配置内容为:

<Directory "DIR">
<FilesMatch ".(php|asp|jsp)$">
Deny from all
</FilesMatch>
</Directory>

配置内容中的DIR为需要限制执行脚本文件的目录,FilesMatch后的内容为需要限定的执行的脚本后缀名。例如:这里需要禁止测试站点uploads文件夹下的PHP,ASP,JSP脚本的运行,则进行如下图6配置:

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

(图6)

 

在配置完成后,重启一下apache,配置便生效!
在操作前,uploads文件夹下我新建了一个index.php文件,图7为未作配置前访问情况

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

(图7)

图8为重启apache后访问该页面的效果。

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

(图8)

虚拟主机/空间配置

apache 的 主机,写到.htaccess 下

RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

RewriteRule images/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule a/(.*).(php)$ – [F]  //根据自己是生成目录修改a

RewriteRule templets/(.*).(php)$ – [F]

DEDECMS完全安全设置教程,取消执行php脚本限制设置方法,目录权限设置

如果有其它目录,您接着下面写。

nginx环境规则内容如下:nginx执行php脚本限制

LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。

首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加,虚拟主机则在规则文件nginx.conf 添加

location ~ /(data|uploads|templets)/.*.(php|php5)?$ {

deny all;

}
写好之后,重启nginx /etc/init.d/nginx reload

最后请大家尽可能快的打上最新补丁文件!

好了就这些吧,做了这些应该不会有什么问题基本够用!建议用dedecms的朋友花点时间去设置一下.

 

这里简单介绍DEDECMS安全设置。

1、以下目录:data、templets、uploads、a、images设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可以在后台进行更改;
2、以下目录:include、member、plus、dede(后台)设置为可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改;

不用专题文章的建议删除special 文件夹

  linux设置权限命令:chmod -R 555 /路径    '一定要继承权限
3、如果不需要使用会员、专题,可以直接删除member、special目录;
4、删除install安装目录;
5、管理员帐号密码尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限;
6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限;
7、定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复。

设置了以后,接着下面的操作

如果已经被黑,请清楚空间内所有资料,下载官方最新版,然后按照以下处理:

第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成xxxx_,随便一个名称即可。
第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
第三、装好程序后务必删除install目录
第四、将dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plusguestbook留言板

以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php

再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据

如果是虚拟主机客户最后使用管理面板内的权限设置功能,取消upload和data目录的执行权限。 服务器客户可以更好的设置安全

 

正文:

用户织梦建站,网站安全不可忽视。给大家分享织梦各目录的安全设置教程。以供参考。

/ 【站点上级目录】

假如要使用后台的目录相关的功能需求有列出目录的权限 //0444

/ 【站点根目录】

需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限 //0755

/install 【安装程序目录】 删除

需求有执行和读取权限 //建议安装完成以后删除或者改名 //0555

/dede 【后台程序目录】 去掉写入权限

需求有执行权限和读取权限 //建议安装完成以后修正目录名称 //0755

/include 【主程序目录】 去掉写入权限(修改配置的时候要打开写入权限)

需求有写入、执行权限和读取权限 //0755 //建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555

/member 【会员目录】 去掉写入权限(没有会员系统直接删除掉)

需求执行读取和权限 //建议去掉写入权限以及修正权限//0555

/plus 【插件目录】 可以去掉写入权限,暂时未发现去掉写入带来的问题

需求有读取、写入和执行的权限 //建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755

/data 【站点缓存数据等文件】 去掉php脚本执行权限

需求有读取权限和写入修正权限 //建议去掉执行权限//0666

/html 【HTML文档默认目录】  去掉php脚本执行权限

需求有读取修正和创建权限 //建议去掉执行权限 //0666

/templets【模板目录】  去掉php脚本执行权限

需求有读取 修正写入 权限 //建议去掉执行权限 //0666

/uploads 【附件目录】  去掉php脚本执行权限

需求写入读取权限 //建议去掉执行权限//0666

/company 【企业黄页程序目录】

需求读取和执行权限 //建议去掉写入权限//0555

/special 【专题文件目录】

需求执行、读取、写入和修正权限 //0755

/book 【书库模块程序目录】

需求执行、读取、写入和修正权限 //0755

/ask 【问答模块程序目录】

需求执行和读取权限 //建议去掉写入权限//0555

/group 【圈子模块程序目录】

需求执行和读取权限 //建议去掉写入权限 //0555