本帖最后由 学习NO.1 于 2016-5-29 10:16 编辑
Dedecms 织梦内容管理系统,真的是一个让人又爱又恨的内容管理系统。Dedecms非常容易被人利用漏洞上传木马执行后给虚拟主机服务器带来严重安全问题。最常见的问题有如下两种: 1、 利用dede漏洞对网站进行挂马,上暗链等令人深恶痛决的可耻行为。这种情况,多见于一些排名较好、网站有大量访问用户的站点。 2、 利用dede漏洞上传对外攻击脚本,让你的网站沦为“肉鸡”。其典型的表现为,网站访问异常的慢。道勤主机(www.daoqin.net)把这种情况称为“对外攻击”,处理不得当整台服务器也将沦为“肉鸡”,导致整个服务器崩溃,这是非常恶劣的安全事件。很多不稳定的空间都有由于没有处理好对外攻击的事情,而导致产品不稳定。 道勤主机(www.daoqin.net) 小编这里不是棒杀dedecms的不好,而是 dedecms用的人太多了,研究的人多也多,爆的bug也多,我们在使用dedecms的时候,要有安全建站的意识,贵在dedecms官方开放团队每天都在更新版本修补漏洞。使用者,只需要紧跟官方版本步伐,及时更新最新版本,将漏洞扼杀在襁褓之中,是为上策。 Dedecms v5.7 sp1已经出来了,这是当前(2011-12-9)最新版本,小编认为此版本最大特点就是:用户可以自定义取消一些敏感目录的执行权限。关闭执行权限后,将可以最大限度预防木马注入,即使上传了也没有执行权限运行。那么,如何在道勤主机(www.daoqin.net)php虚拟主机中应用这一个功能,来加固网站安全类?详细方法如下: 说明:本方法只限于使用纯linux环境下的php空间,支持.htaccess文件的空间使用。Windows系统的下的php空间不能使用下列方法。本教程在任何linux环境下的php空间都可以适用。 下面方法将dedecms程序中3个重要文件目录uploads、data、templets的执行权限取消,取消后不会影响程序正常运行,dedecms官方论坛推荐的方法。为演示教程,只设置这三个目录,你可以参考下面的方法将plus、dede等目录也取消执行权限。使用此方法需要用户对dedecms文件结构和功能用途非常熟悉,否则建议直接使用本教程中介绍的规则代码。 1、请在本地电脑上新建一个记事本文件。将下列代码复制,粘贴在记事本中报错为任意文件名,如51php.txt RewriteEngine on RewriteBase / RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ – [F] 2、请将保存好的记事本文件daoqin.txt,上传到dedecms安装目录(网站根目录),道勤主机(www.daoqin.net)的php空间就请上传到public_html目录下。上传完毕后,请将该文件名称51php.txt 重命名为 .htaccess 规则包功能说明:php空间取消目录脚本执行权限规则包 A、 取消uploads、data、templets三个目录的执行权限, B、 实现网站301重定向功能,请将代码中的网站域名替换为你的域名就可 以实现301重定向功能。 C、 点击下载php空间取消目录脚本执行权限规则包(带301功能)。
编后: 道勤主机(www.daoqin.net) 鼓励病督促还在使用dedecms老版本的用户请尽快升级到最新版本dedecms v5.7 sq1,升级新功能、修补安全漏洞。 Dedecms版本升级相关教程:升级DEDECMS v5.7 sp1后台发布文章报错
纯Linux环境下高端免备案[香港独立IP地址] php空间,仅仅只需166元一年起。域名核心代理直销50元注册国际顶级域名。 道勤主机提供365天*24小时全年全天无休、实时在线、零等待的售后技术支持。竭力为您免费处理您在使用道勤主机过程中所遇到的一切问题!
如果您是道勤主机用户,那么您可以通过QQ【792472177】、售后QQ【59133755】、旺旺【诠释意念】、微信:q792472177免费电话、后台提交工单这些方式联系道勤主机客服!
如果您不是我们的客户也没问题,点击页面最右边的企业QQ在线咨询图标联系我们并购买后,我们为您免费进行无缝搬家服务,让您享受网站零访问延迟的迁移到道勤主机的服务! |