如何做好网站优化的三大块?
2011-8-19 DedeCMS全局变量初始化存在漏洞
描述:可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器,造成网站用户数据泄露、页面被恶意篡改等严重后果。
2012-3-21 DedeCMS官方源码被植入后门
描述:导致黑客可以执行任意代码从而控制整个网站或服务器
2013-3-29DedeCMS安全漏洞
描述:“本地文件包含漏洞”,发现时为“0day”,官方已修复
2013-4-1DedeCMS 爆SQL注入漏洞
描述:乌云平台曝光, “0day”,官方已修复
2013-5-2DedeCMS“重安装”高危安全漏洞
描述:被发现“0day”,通知官方修复并启用临时修复方案
2013-6-4DedeCMS 高危安全漏洞
描述:此漏洞为“0day”,官方已修复
2013-9-30DedeCMS 57版本高危漏洞
描述:乌云白帽子上报,“0day”,跨站脚本漏洞,可在前台插入恶意JS代码,黑客已经利用
2014-1-6DedeCMS会员投稿跨站脚本漏洞
描述:攻击者可通过“会员投稿”插入恶意代码,后台管理审稿时“中招”可导致网站被黑
2014-2-17swfuploadswf跨站漏洞
描述:该漏洞乌云平台上报,站长反馈网站在检测时检测出此漏洞,已提供修复方案
2014-3-4DedeCMS多个安全漏洞
描述:包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复
2014-03-05dedecmsV5738 GBK正式版20140305常规更新补丁 member/soft_addphp修复功能错误及存在的漏洞member/soft_editphp修复功能错误及存在的漏洞include/filterincphp修复功能错误及存在的漏洞2014-03-11dedecmsV5739 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732fxml新增畅言模块include/helpers/channelunithelperphp模板标签解析功能完善include/inc/inc_fun_funAdminphp更新提示站点迁移完善include/taglib/flinklibphp友情链接标签缓存完善2014-03-13dedecmsV5740 GBK正式版20140313常规更新补丁 include/helpers/channelunithelperphp修复一个标签解析错误2014-11-28DEDECMS官方网被黑,黑客在织梦服务器端植入恶意代码,所有织梦用户访问后台时会提示下载1exe文件,该程序为后门,一旦下载便会感染成为远控端,而且该病毒会实现反复感染。如果用户为IE浏览器,则会直接感染成为远控端。
织梦源码网站后台是源码模板里面的dede文件夹,通过http://域名/dede/这样的方式进行访问。通过dedecms模板大全下载源码后,ftp上传到服务器,域名解析再安装,就可以进后台修改。
网站作为互联网核心,通过数据驱动(用户产生业务,业务产生数据),我们想要提高网站安全性,先要明白有那些因素会影响到网站的安全问题。清楚网站的安全性三要素变得非常重要:1机密性、2完整性、3可用性如:Dos攻击会降低可用性。网站管理除了服务器防火墙,在做好网站防护的时候,要对数据重要性做安全等级划分。
网站数据安全评估过程:
1资产等级划分、确定所需保护的目标、最重要的资产、最重要的数据、客户数据;员工资料;信任域/信任边界:DB--WebServer--Internet
2威胁分析
威胁(Threat):可能造成危害的来源、伪装(Spoofing):冒充他人身份---认证、篡改(Tampering):修改数据or代码---完整性、抵赖(Repudiation):否认做过的事情---不可抵赖性、信息泄露(InformationDisclosure):机密信息泄露---机密性、拒绝服务(DenialofService):拒绝服务---可用性、提升权限(PrivilegeEscalation):未经授权获得许可---授权。
一、网站模板程序不够安全
大多数网站喜欢下载模板后直接使用,这样的网站程序存在漏洞是不可避免的,所以想要提高网站安全性,想要确保网站后台cms系统安全性,网站后台开发外包给专业团队还是很有必要的。就算是前期使用公共平台模板,也要注意以下两点:
①不要选择知名度不高的网站程序源码,这类源码一般无人去进行程序的开发和维护,网站极易出现漏洞,被入侵的可能性大大增加。所以在选择的时候,尽量选择知名度较高的开源程序。
②选择知名的建站CMS系统,如:DEDECMS、动易CMS、ECSHOP等免费开源程序,由于此类开源程序使用者较多,网站很容易出现新的漏洞,我们要根据后台提示,及时的进行更新,避免黑客对网站进行攻击。
二、网站的空间/服务器
上面说完网站程序会影响到网站的安全性,其实网站在选择空间时,也需要注意,网上有很多不知名的空间商给出的网站空间价格很低,部分用户觉着便宜使用了,但往往这种便宜的空间,安全性极差。因为空间/服务器需要专门的人员去进行维护的,需要对服务器进行配置,设置服务器文件的权限等等。
三、网站后台路径以及账号密码设置
借助小编的亲身经历,以前帮一个客户维护他的网站,发现他网站后台路径是/admin账号是admin密码是admin,这种网站即使后台程序和空间再好,被入侵也是迟早的事,网站后台的路径不能直接大众式的后台路径,账号和密码也尽量要用字母+数字+符号,所以提醒大家以后要在这方面多加注意。
做这么多网站的安全防护措施都是为了防止黑客借助网站程序漏洞和服务器防御不足,让他获取用户数据泄露用户的登录信息和密码。那如果黑客都得到了用户数据表了,那么是不是也能得到其他信息呢黑客想登陆到你的帐户获取你的数据或者更改数据,那么数据库本身的安全是不是比用户密码存储方式的设计更重要呢。通过以上几点可以看出,做好网站的安全防护并不是做好两三点就足够的,还有很多细节需要更深入地探讨。
1、首先进入dedecms的源码目录,在源码目录中点击进入dede的文件夹,该文件夹就是dede的后台文件:
2、然后打开浏览器,输入“虚拟域名/dede”,没有配置虚拟域名就是“localhost/dede”回车进入后台的登录界面:
3、进入后台登录后,输入账号和密码,点击登录即可:
4、此时即可访问到dede的后台了:
织梦CMS收费意味着什么?
作为一款使用率非常高的免费开源内容管理系统,织梦CMS一直以来都是不少站长、企业搭建网站时的首选,据官方资料,目前有超过35万个网站在使用织梦的产品,这次收费通知一出来,想必有不少网站都会受到影响。
那句话怎么说来着?天下没有免费的午餐。更何况我们使用了织梦CMS提供的源码,为正版付费其实也应该是理所当然的。
在织梦CMS是否该收费这个问题上其实无需过多讨论,退一万步说,这是人家自己的东西,收不收费都是他们的自由。
但另一个问题确实不少人应当考虑的:“织梦收费之后还要不要用?要不要转移阵地?”
这一问题对于有能力自己提供源码独立建站的大企业来说自然不算难题,但对于国内绝大多数不具备这一能力的企业或个人而言就比较头疼了。
目前开源CMS产品很多主要对个人非商业用途免费,而对商业用途也是收费的。
那除开CMS以外还有什么其他的选择呢?
这个问题并不难,SaaS系统服务+低代码(无代码)建站的模式就能够在一定程度提供另一条解决途径!
目前国内的SaaS服务市场已经较为成熟,SaaS不仅适用于中小型企业,几乎所有规模的企业都可以通过SaaS提高效益、获得利润。
SaaS产品涵盖各个行业,在搭建企业网站的方面,而SaaS服务商提供的功能中也包括了搭建企业官网。
以LTD营销SaaS中台为例,用户在使用LTD营销SaaS时,可以通过LTD的自助建站平台搭建网站,通过这种方式可以实现低代码、无代码建站,在当下的局面下正好可以消除用户们最担心的问题。
此外,LTD营销SaaS还为用户提供定制建站服务,有着专业人士为你搭建专业企业官网,造型更精致、功能更强大、且无须担心源码问题,建站无门槛,企业和个人都可以通过LTD搭建自己理想的网站。
面对织梦CMS收费导致的“去留问题”,企业要不就支付授权费,继续按照过去的模式,保持不变;或者也可以尝试一下SaaS+低代码(无代码)建站的新体验
不知道你的问题是不是已经得到了解决。我觉得我来回答很有发言权。因为我前段时间也出现了这样的现象。
你看看你的主页的源代码是不是如下这样的,网站标题、关键词、描述都发生了变化,多了如图所示的代码在网站里面。这个就是病毒代码,但是删除之后,过段时间有出现了这样的情况。那是因为删除只是一时的,并没有解决网站漏洞的根本原因。
其实出现这种现象是网站被“跨站脚本攻击(XSS)”了。具体的跨站脚本攻击(XSS)的意思你百度就知道了,有这个漏洞的百科词条。我用的也是dedecms网站,那么具体解决方法就是防范跨站脚本攻击(XSS)漏洞。只有修复了漏洞,才会不再生成这样的病毒sj代码出来。
1、跨站脚本攻击(XSS)的防范方法,X-Frame-Options头设置,具体方法篇幅比较大,参考百度经验《X-Frame-Options头未设置,如何设置?》
2、跨站脚本攻击(XSS)的防范方法,Cookie没有HttpOnly标志,需要设置HttpOnly,参考百度经验《Cookie没有HttpOnly标志咋办?IIS设置HttpOnly》
3、跨站脚本攻击(XSS)的防范方法,dedecms版本升级,dedecms是免费的开源网站,用的用户多,存在的漏洞也多,要不断的打补丁,升级版本。
把以上三点都做好了,你的网站就不会出现跳转到别人网站去的现象了,因为防范了“跨站脚本攻击(XSS)”,别人就不会攻击你的网站,在你网站里面加病毒代码了。我是一个热爱分享的网站站长,可以关注我,跟我一起进步。
1、这个是显示时间的代码
你可以随便放到一个位置 一般放到header的一个位置
<script language="javascript">
function showtime()
{
var today,hour,second,minute,year,month,date;
var strDate ;
today=new Date();
var n_day = todaygetDay();
switch (n_day)
{
case 0:{
strDate = "星期日"
}break;
case 1:{
strDate = "星期一"
}break;
case 2:{
strDate ="星期二"
}break;
case 3:{
strDate = "星期三"
}break;
case 4:{
strDate = "星期四"
}break;
case 5:{
strDate = "星期五"
}break;
case 6:{
strDate = "星期六"
}break;
case 7:{
strDate = "星期日"
}break;
}
year = todaygetYear();
month = todaygetMonth()+1;
date = todaygetDate();
hour = todaygetHours();
minute =todaygetMinutes();
second = todaygetSeconds();
if(month<10) month="0"+month;
if(date<10) date="0"+date;
if(hour<10) hour="0"+hour;
if(minute<10) minute="0"+minute;
if(second<10) second="0"+second;
documentgetElementById('time')innerHTML = year + " 年 " + month + " 月 " + date + " 日 " + strDate +" " + hour + ":" + minute + ":" + second; //显示时间
setTimeout("showtime();", 1000); //设定函数自动执行时间为 1000 ms(1 s)
}
</script>
<div id="time"></div>
<script language="javascript"> showtime();</script>
2、DEDE默认是有会员登录框的 你可以去自己更改样式
3、页面可以设置成你想要的分辨率
4、不用再买mysql了 一个就可以用了 不会冲突
0条评论