在线建站培训
您的位置: 魔客吧魔客学院织梦视频教程查看内容

课时1-6:织梦系统的安全设置

讲师:moke | 课程:织梦视频教程

    各位同学大家好,欢迎大家来到魔客吧。今天我们给大家讲解织梦系统的安全设置,dedecms如何防止被黑。使用织梦系统建站的同学肯定都知道dedecms系统的安全性很差,一不小心就被黑了。今天我们就在这里系统全面的给大家讲解一下织梦系统的安装设置。提示:大家在进行以下修改操作前请先备份好网站程序和网站数据。

一、织梦安装常规设置

1. 安装程序后删除install文件夹,并且一定修改dede这个文件夹名称,也就是修改你的后台路径
2. 后台管理员不要使用admin或者其他一类很容易被猜到的账号
3. 使用最新版的dedecms建站,经常注意后台的升级信息
4.  如果你的dede程序用不到会员功能,请删除member这个文件夹。如果必须使用,请下载本专题最后提供的360安全补丁

二、将data这个文件夹移动到程序上一层目录

1. 我们这里以魔客主机举例,以“moke8test2”为我们系统的根目录,我们需要将wwwroot目录下的data文件夹(如图1-4)迁移要上一级目录(moke8test2目录中或者moke8test2目录中的一个文件夹),简单的办法直接剪切或者拷贝即可,虚拟主机的用户可以通过Ftp软件的右键移动功能,我们先在moke8test2里建立一个db目录,这里以移动到moke8test2目录下的db这个文件夹为例。
(温馨提示:很多虚拟主机不支持移动,大家可以先咨询下空间商,魔客主机是支持的哦!)

打开wwwroot目录,右键点击data文件夹,选择“移动”
dedecmsanquan.png


在弹出的对话框中选择我们建立的db文件夹
dedecmsanquan2.png


然后大家打开wwwroot下的db文件夹可以看到已经移动成功
dedecmsanquan3.png


2. 找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。
pic_5.gif


3. 进入系统后台[系统]-[系统基本参数]打开“性能选项”在修改模板缓存目录tplcache目录为你相对的目录,比如/../db/data/tplcache
dedecmsanquan4.png


4. 改一下/include/vdimgck.php这个文件 这个文件里也调用了DATA里的文件也可以改路径,找到:
  1. $im = @imagecreatefromjpeg(dirname(__FILE__).'/data/vdcode.jpg');
复制代码
改为:
  1. $im = @imagecreatefromjpeg(dirname(__FILE__).'/../db/data/vdcode.jpg');
复制代码
5. 修改网站的首页文件index.php中的/data/common.inc.php也为相对的目录,找到
  1. if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
复制代码
改为:
  1. if(!file_exists(dirname(__FILE__).'/../db/data/common.inc.php'))
复制代码
至此,修改完成。如果你在没按以上方法一一进行修改的话,会发现移动后有两点问题,第一、后台登陆不显示验证码了,第二、联动类别后台发布的时候不显示.移动后发布文章时候联动类别不显示和后台登陆不显示验证码。等等,即使你想要转移回去发现问题依然存在。其实真正正确的转移方法是:你需要把整个程序里所有关于调用到'/data' 的部分全部换掉。所以大家在修改时一定要注意!

三、360检测中心提供的dedecms安全修复补丁

    本安全补丁包,仅适合织梦DedeCMS v5.7 SP1正式版 (2013-07-15发布),对不满足此版本的用户,可以先去官方先升级至这个版本,然后使用我们补丁包覆盖安装, 本安全补丁共修复12个高危漏洞,并且集成了360网站安全检测的后门查杀和漏洞修复功能。

注意
1. 安装前请先备份网站程序!
2. 如果您已经修改后台默认目录,请先修改压缩包里的"dede"目录

安装步骤
1. 将zip文件包解压后,上传服务器,覆盖原有文件 (注:1.请先做好备份。2.如果您已经修改后台默认目录,请先修改压缩包里的"dede"目录)
2. 安装成功后,登录织梦DedeCMS后台可见360安全模块,如下图
dedecms-icon.png


GBK版本:
请点击此处下载

请先注册会员后在进行下载

已注册会员,请先登录后下载

售价:免费  [充值金币]  [免费赚金币]  [关于会员等级] 
下载权限: 无下载限制  [购买VIP] [免费升VIP]

UTF8版本:
请点击此处下载

请先注册会员后在进行下载

已注册会员,请先登录后下载

售价:免费  [充值金币]  [免费赚金币]  [关于会员等级] 
下载权限: 无下载限制  [购买VIP] [免费升VIP]


四、目录权限设置

1. 如果有服务器或者VPS权限,将data、templets、uploads、a或html目录, 设置可读写,不可执行的权限
2.  include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)

注:虚拟主机,可以通过空间控制面板或者FTP工具来设置权限。很多主机是不支持FTP工具来设置权限的。关于目录权限的设置,具体的方法大家可以百度下,如果实在不会可以联系空间商帮助设置。

五、文件删除

1. Plus目录下只保留:mytag_js.php ad_js.php(广告显示)、count.php(文章访问次数统计)、search.php(文章搜索)、feedback.php feedback_ajax.php feedback_js.php(评论用)、list.php(频道动态页),而plus目录中的其他php文件全部删除!

2. dede目录下删除用于后台文件管理的文件:file_manage_control.php、 file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、 media_main.php

3. 其他主要文件夹删除:install(安装后删除)、a、member(无会员可删除)、special、favicon.ico、tags.php(tags.php文件删除后标签功能无法使用,如想保留标签功能,请勿删除tags.php)

    总结,通过以上的设置后你的织梦系统基本已经安全了,最后提醒大家养成定期备份网站的好习惯,这才是防范网站中毒最好办法!大家在进行以上操作前请先备份好网站程序和数据。更多网站建设课程,请大家关注魔客吧,谢谢观看!