如何做好网站安全工作

织梦后台登陆不上提示验证码不正确\x0d\1密码明明正确的，却无法登陆后台管理\x0d\解答：\x0d\此外，不管是新人，还是phper，都要注意的是：用户名和密码只能由 [a-z A-Z - _ @ ] 这些字符组成，不能是中文或其它的符号。\x0d\2验证码明明正确的，就是提示验证码不正确，而无法登陆后台。\x0d\解答：我就清空了一下cookies和IE临时文件夹，就可以，如果不行，看下面。\x0d\通过FTP进入根目录\x0d\修改/data/safe下的inc_safe_configphp\x0d\把$safe_gdopen值中的6去掉在登陆后台的时候就不会出现验证码了\x0d\比如这样：$safe_gdopen = '1,2,3,4,5,7';\x0d\\x0d\如还是不行，进不了后台~ 虽然没有了验证码 但是 提示 密码错误。。怎么输入都是提示密码错误\x0d\别人都说是没有写入权限 \x0d\回答识别密码不用写入权限\x0d\因此，确实是你密码错误\x0d\\x0d\最新发现的可以解决DEDE模板网站后台登陆“验证码不正确”的办法\x0d\ 今天帮客户做的一个织梦CMS网站又出现登录DED后台，提示;验证码不正确。\x0d\找了很多解决办法都弄不好，最后用下面的方法终于弄好了。

\x0d\下面给出解决办法：\x0d\\x0d\首先，进入data/session目录，将这个目录下的除indexhtm外的其它session文件全部删除掉。然后再把本地IE浏览器的缓存清理了干净。\x0d\最后重新进入织梦网站后台首页终于是正常的了。这是我解决织梦dedecms模板网站后台登录提示验证码不正确的最快捷解决办法。\x0d\比较常见的就是目录的权限设置问题，导致后台文件权限问题，详细要参考《DEDE织梦目录权限安全设置说明文档重要\x0d\ dede57验证码不正确解决办法，提供一种我遇到的情况，/data/sessions无写入权限，给足权限即可。\x0d\ \x0d\[其他问题] 各种dede织梦后台登陆验证码错误或不显示解决方法汇总：\x0d\ \x0d\各种dede织梦后台登陆验证码错误或不显示解决方法汇总！常见的就是验证码输入明明正确但却提示不正确，或者压根不显\x0d\\x0d\示。说一下碰到这种情况的几种原因：\x0d\①dede版本程序升级操作不正确造成验证码提示不正确\x0d\②更好空间新的空间里phoini里gd库配置问题\x0d\③网站空间满了\x0d\④专对57版本转移data目录引起的（此种请查看：如何将dede织梦data目录正确迁移及引起的问题解决方法）\x0d\⑤程序内/data/session目录权限设置问题\x0d\⑥清除浏览器的cookies，重启浏览器；\x0d\⑦网速不行，换个时间，等网速快了再试!\x0d\⑧网站程序出错，重新上传安装；\x0d\好了，引起dede织梦后台登陆验证码错误或者不显示的原因找到了，那么现在我们来总结一下解决办法。\x0d\1、如果是57版本的转移data目录引起的。\x0d\请改一下/include/vdimgckphp这个文件 这个文件里也调用了DATA里的文件也可以改路径,把带有这个 //data 改成你现\x0d\\x0d\在的路径。\x0d\2、查阅资料后得知，session没有清除，去data/session目录下，将除indexhtml以外文件全部删除就可以了。\x0d\3、如果还是不行，看session是否有写入权限，如果没有的话，给"internet来宾账户"添加写入权限，Linux的话，目录权\x0d\\x0d\限设置为"777"。4、设置服务器的phpini：打开phpini 文件找到;sessionsave_path = "/tmp" 改写成sessioncookie_path = /把\x0d\extension=php_gd2dll;将他前面的分号;去掉。\x0d\5、检查你的空间是不是满了，测试的方法是你可以随便上传FTP空间里一个文件，会有提示，你可以联系空间服务商。\x0d\6、直接去掉验证码：打开 loginphp 找到：\x0d\if($validate=='' || $validate != $svali)\x0d\替换为：\x0d\if( false )\x0d\然后，在模板dede/templets/loginhtm里去掉以下验证码的具体HTML代码：\x0d\验证码： \x0d\ \x0d\\x0d\或者是：在[验证码安全设置]里，说修改后的保存实际上是修改了data\safe\inc_safe_configphp 这个文件，这是个配置\x0d\\x0d\文件。 \x0d\比如：$safe_gdopen = '1,2,3,5,6'; 这个就是系统哪些地方开启验证码。与[验证码安全设置]界面是一对一的关系。 \x0d\所以，如果当我们管理后台想关闭验证码(如果验证码无法正确输入，不支持GB库)的时候，只需要打开data\safe\x0d\\x0d\\inc_safe_configphp 将$safe_gdopen = '1,2,3,5,6'; 中的6删除即可。不必去进行繁琐的设置。\x0d\如图\x0d\7、是修改include文件夹的vdimgckphp文件修改以下段落，\x0d\//Session保存路径\x0d\$sessSavePath = dirname(__FILE__)"//data/sessions/";\x0d\修改为//$sessSavePath = dirname(__FILE__)"//data/sessions/";\x0d\修改后，时管用时不管用，改回来也是这样的情况。如果把DEDE后台路径修改默认的DEDE文件夹，就不会出现验证码错误的\x0d\\x0d\情况。最后如果以上方法均不适用的话，那么你就重新安装下对应版本的程序，然后将您的css及文件，模板文件，upload文\x0d\件夹转移过来。最后还原数据库。

把后台管理目录dede修改为一个你能记住的名称就行，随便改只要是英文字母就行。

把commonincphp属性设为只读就行了，windows系统会设置吧。

添加一个管理员账号，也是自己好记的，不容易让别人猜到的，添加后测试一下有没有管理权限，然后把admin账号删掉就行。

data目录移动到其他目录，dede官网说可以移动，我56和57都都测试移动过，但移动后出现很多问题，建议还是不要移动。就让他提示好了。

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

用户名，密码复杂性，即使hack拿到密码也不容易逆转破解；后台目录务必重命名，越复杂最好；关注官方网站，跟相应的杀毒软件，定时修补补丁，定时查杀多余php文件；

后台设置，删除多余会员，关闭会员功能，系统基本参数-会员设置，互动设置等限制；

精简设置，不需要的功能都删掉，每个目录下加一个空的indexhtml,防止目录被访问；可删除的功能：member，special，install（必删），company（企业模块），plus\guesbook留言板等一般用不上的功能；

可以删除不必要但容易受攻击的文件（再文件夹下搜索即可）：file_manage_controlphp，file_manage_mainphp，file_manage_viewphp，media_addphp，media_editphp，media_mainphp,downloadphp(没有下载功能)，feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。

为了防止HACK利用发布文档，上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)

织梦权限设置，

1>include,plus,member等附加组件 可读取 不可写入 执行脚本（纯脚本）

data、templets、uploads,images 可读写 不可执行（执行权限无）

2>设置iis权限，去掉user权限，自己设置一个权限；目录设置、不允许执行脚本：

织梦关闭自定义表单前台预览，删除友情链接申请功能；网站提交登陆一定要有验证码，防止hack暴力破解，提交。

也可以使用第三方安全插件：如360网站卫士，DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击：系统—病毒扫描—开始扫描，删除织梦系统以为的php文件；

一、迅睿CMS安全性

1、系统后台安全设置

开启https、开启跨站验证、登录失败次数设置

定期修改密钥，该密钥用于Cookie数据加密，为了保证用户数据安全

2、目录权限（非常重要）

目录权限的配置非常重要，80%的网站系统入侵后成功挂马，基本上是权限设置不正确引起的。

迅睿CMS系统目录权限配置的原则为：

这样即使黑客侵入了网站目录，也不能轻易让木马在可执行PHP脚本的目录下运行，相当于把木马文件隔离起来了。

3、分离后台程序，个性化后台域名

不要把后台放在前端目录中，防止被猜疑利用。

我们强烈建议后台域名不要通过公网DNS解析，最好手动绑hosts文件访问。

如果有条件的话，后台更应该放置在***以及内网下访问。

4、禁止模版目录在线修改

迅睿CMS后台提供了在线修改模版的功能，提供了一定的方便，但是一旦黑客通过其他途径拿到了后台帐号密码，并进入了后台，就可以在线修改模版并植入木马程序。

为了安全起见，我们强烈的建议用户不允许在线修改模版，因为你方便，黑客们也喜欢。

通过FTP或SFTP软件来进行模版修改，同时开启FTP与SFTP的操作日志。

5、开启后台操作日志

作为网站管理员，养成定时查看日志的习惯才是好同志。

通过开启迅睿CMS后台的操作日志，并定时查看是否有非法登入后台的管理员账户，是否有非法访问后台地址的行为。

6、开启访客日志记录

实时查看网站访问数据和POST提交数据，统计用户的操作行为日志，记录源端口号、IP、设备信息。

7、补丁更新及安全检查

迅睿CMS使用过程中，如发现已知的安全漏洞，官方会在第一时间修复漏洞并提供补丁包，并通知我们的客户及时打上补丁，避免再次入侵，造成更大损失。

如果您在使用过程中发现有入侵现象，请及时与我们联系，我们会安排工程师进行网站扫描与清理工作。

8、数据库与网站备份

建议每天对网站程序和模版以及数据库进行备份，阿里云服务器可以用设置定时快照备份，大部分虚拟主机也有自动定时备份功能，以防出现故障后无法恢复 历史 文件。

二、服务器安全配置

虚拟主机安全性都是由服务商来设定；

云服务器建议安装BT面板的防火墙插件

三、其他开源程序的安全配置

如果您的服务器运行了不止迅睿CMS一个产品，还有如Discuz、DedeCMS、帝国CMS等开源产品，请及时关注这些产品的安全信息，并做好补丁工作。

1、下载一个织梦的压缩包，将其解压，然后将upload文件夹中的文件(注意是文件中，而不是文件夹)上传到网站的根目录中。

2、在浏览器中打开http://你的网址/install/indexphp ，开始进行安装。选中“我已经阅读并同意此协议”点击继续，这里系统跳转到环境检测页面。

3、数据库的设定，织梦程序需要的是PHP和MYSQL数据库，按照图示填写相应的内容即可

4、点击“继续”，完成DedeCMS的安装，到这里为止，织梦的安装已经完成了，

5、点击“登录网站后台”，用户名和密码是刚才数据库设定的时候设置填写的。

6、登录到后台就可以进行相关的设置了。

1、隐藏好IP，做好防护。

2、网站使用CDN。就近接入，就是利用DNS服务找到离用户最近的机器，从而达到最短路径提供服务，DNS服务理论上可以找到所有这个公司的机房和IP，从而还能够进行流量的调度。

3、服务器的补丁一定及时打好，不定时更新很有必要。

4、网站后台的路径要隐藏好，很多网站都不注意这一点，很容易被攻击。

5、网站的账号密码要设置复杂点，平常注册的时候提示什么数字字母特殊符号的。

6、服务器备份。而且要及时更新备份，不要等到失去是后悔莫及。

7、服务器的防火墙。不要乱传来路不明以及不好的内容到网站的目录。

8、常用的端口都要关闭。

9、一定要开启防火墙。

10、最后注意不要存在弱命令。

如果网站价值较高，建议找专业的安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业