移动互联网+与新技术研究汇总

程志鹏@6A商学院 专注SEM与“互联网+”研究与学习

整理了一份织梦系统的安全策略

  整理了一份织梦系统的安全策略:

  对于大部分人来说,Dedecms都是很方便的开源CMS,正是因为使用的人数众多,所以dedecms系统很容易受到攻击。应注意一下几个方面来防范。

  一、随手下载使用别人的模板

  目前织梦系统的模板很多,有些模板非常漂亮。但是要注意模板里是否有黑链或别的广告代码什么的。最好自己书写一份,一方面为了安全,另一方面也是为了更好的得到搜索引擎的抓取。

  二、没有限制文件夹脚本运行

  因为dedecms很容易受到攻击,如果不小心被上传文件了,如果你的文件夹有限制脚本运行的权限,那么这些文件还是无法运行的。目前uploads、data、templets这三个目录是要禁止php文件运行的,同时common.inc.php要设置为只读。这点是非常关键的。必须提高注意。

  三、没有及时升级补丁或版本

  织梦系统会随时相进行升级,更新漏洞补丁。所以要不定期在后台升级补丁,这和使用windows系统一样,没有补丁便没法保证安全,不管多忙都要去后台升级补丁。

  四、没有限制会员上传文件格式

  还是很强大的,不仅可以做内容网站,还可以做社区,支持投稿,支持和论坛数据加在一起等;不过,因为涉及到注册会员投稿什么的,那么要特别注意会员上传文件的格式,要在后台设置清楚允许上传的附件及图片,不少漏洞都是利用会员上传文件攻击的。

  五、没有修改管理员账号及昵称

  管理员账号是admin,默认的管理员昵称同样是admin,为避免管理员账号泄露,那么一定要修改昵称,昵称在账号管理里可以修改,建议改为中文;至于管理员账号,在数据库里修改,避免别人已知账号暴力破密码。

  六、没有修改后台地址或写入

  使用这类有后台的CMS,那么一定要修改后台地址,同时要补丁修改;不过呢,有些人担心搜索引擎可能会收录到后台地址,于是在robots.txt中禁止收录后台目录,这样反而是此地无银三百两,让那些不坏好意的人有机可乘。

  因为目前所有网站均为织梦系统,所以,在防范上一定要加强再加强。

发表评论:

网站分类
搜索
最新留言
文章归档
友情链接
  • 订阅本站的 RSS 2.0 新闻聚合

Powered By Z-BlogPHP 1.7.2

Copyright ©2007-2023 程志鹏@6A商学院 All Rights Reserved
冀ICP备10208152号-4 |