织梦DEDECMS系统是大家经常用的一款程序,深受个人站长及网络公司的喜爱,建站方便,成本低,并且有利于优化!但是官方对于织梦安全的更新速度也比较慢,导致很多的网站被挂马,所以只能自己做好织梦安全防范工作,这里跟大家详细讲述下几种织梦安全设置。
一、删除install安装目录
织梦安装完成后,网站根目录的安装目录install就没有作用了,为了防止别人利用,最好把install文件夹整个删除。也可以像上面说的,直接压缩即可。
二、修改后台管理目录名称
织梦默认后台管理目录是dede,很容易被黑客获知,因此建议修改后台管理目录文件夹,登陆FTP把网站根目录下的dede文件夹重命名,修改为其它名称即可。修改后登陆后台的URL即是:域名/修改后的文件夹名称/login.php
三、修改帐号密码
很多站长习惯使用admin作为用户名,密码也设置的比较简单,这非常影响织梦安全,管理员帐号密码要尽量设置复杂。
网站后台密码容易修改,不过修改admin账号需要一丢丢的技巧。
四、删除无用的目录
(1) 根目录下可以删除的目录/功能
(如果你用不到的话,member和special是必须删除的,大部分的木马文件都是在这2个目录下面):
删除member文件夹
member文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多都是做企业门户展示网站或者是个人博客网站,并不需要会员功能,所以并不需要会员系统,这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。
删除special文件夹
Special文件夹是专题的意思,这个文件是专题页面,所以大家放心删掉好了。
另外,网上有很多用tag做网站优化的教程,所以说后期要用tag做织梦安全优化的话,根目录下的tags.php可以先不删。
(2)管理目录(默认dede目录)以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器(我们可以通过ftp软件进行文件管理),所以这个属于多余功能,而且最影响织梦安全,许多HACK都是通过它来挂马的
(3)plus目录下下是可以删除的文件:
删除:plus/guestbook文件夹【留言板,必删】
留言板类似于阿里云、腾讯云在线答疑功能,必须时刻盯着网站,不然就可能回复不及时。还不如用QQ、微信直接沟通方便。
如果织梦网站不需要那么多的功能的话,上面的都可以删除掉。
五、打补丁与下载织梦安全防护插件
多关注织梦安全官方发布的安全补丁,及时打上补丁。
可下载第三方防护插件,例如:织梦安全顽固木马后门专杀
六、设置目录权限
为防止木马被上传执行,对data、templets、uploads、a目录文件夹设置为644可读写不可执行权限,防止黑客上传木马
七、定期进行备份网站文件和数据库
备份永远是最好的保障,一旦网站被黑或被删除可以在第一时间恢复网站,最大限度地减少损失。建议织梦站长定期进行备份网站文件和数据库。(在本地和服务器上都要备份)
八、选用Linux系统服务器
基本上所有被挂马的几乎都存在同样的织梦安全设置问题,就是使用windows server 2003或2008系统,都是使用iis作为web服务器,win服务器相对于Linux来说安全性真的较差一些,而且大部分被人攻击都是首先服务器有漏洞。如果可以的话,最好选用Linux系统的虚拟主机或云服务器。
