迅睿CMS安全性怎么样?如何进行安全设置
织梦后台登陆不上提示验证码不正确\x0d\1密码明明正确的,却无法登陆后台管理\x0d\解答:\x0d\此外,不管是新人,还是phper,都要注意的是:用户名和密码只能由 [a-z A-Z - _ @ ] 这些字符组成,不能是中文或其它的符号。\x0d\2验证码明明正确的,就是提示验证码不正确,而无法登陆后台。\x0d\解答:我就清空了一下cookies和IE临时文件夹,就可以,如果不行,看下面。\x0d\通过FTP进入根目录\x0d\修改/data/safe下的inc_safe_configphp\x0d\把$safe_gdopen值中的6去掉在登陆后台的时候就不会出现验证码了\x0d\比如这样:$safe_gdopen = '1,2,3,4,5,7';\x0d\\x0d\如还是不行,进不了后台~ 虽然没有了验证码 但是 提示 密码错误。。怎么输入都是提示密码错误\x0d\别人都说是没有写入权限 \x0d\回答识别密码不用写入权限\x0d\因此,确实是你密码错误\x0d\\x0d\最新发现的可以解决DEDE模板网站后台登陆“验证码不正确”的办法\x0d\ 今天帮客户做的一个织梦CMS网站又出现登录DED后台,提示;验证码不正确。\x0d\找了很多解决办法都弄不好,最后用下面的方法终于弄好了。
\x0d\下面给出解决办法:\x0d\\x0d\首先,进入data/session目录,将这个目录下的除indexhtm外的其它session文件全部删除掉。然后再把本地IE浏览器的缓存清理了干净。\x0d\最后重新进入织梦网站后台首页终于是正常的了。这是我解决织梦dedecms模板网站后台登录提示验证码不正确的最快捷解决办法。\x0d\比较常见的就是目录的权限设置问题,导致后台文件权限问题,详细要参考《DEDE织梦目录权限安全设置说明文档重要\x0d\ dede57验证码不正确解决办法,提供一种我遇到的情况,/data/sessions无写入权限,给足权限即可。\x0d\ \x0d\[其他问题] 各种dede织梦后台登陆验证码错误或不显示解决方法汇总:\x0d\ \x0d\各种dede织梦后台登陆验证码错误或不显示解决方法汇总!常见的就是验证码输入明明正确但却提示不正确,或者压根不显\x0d\\x0d\示。说一下碰到这种情况的几种原因:\x0d\①dede版本程序升级操作不正确造成验证码提示不正确\x0d\②更好空间新的空间里phoini里gd库配置问题\x0d\③网站空间满了\x0d\④专对57版本转移data目录引起的(此种请查看:如何将dede织梦data目录正确迁移及引起的问题解决方法)\x0d\⑤程序内/data/session目录权限设置问题\x0d\⑥清除浏览器的cookies,重启浏览器;\x0d\⑦网速不行,换个时间,等网速快了再试!\x0d\⑧网站程序出错,重新上传安装;\x0d\好了,引起dede织梦后台登陆验证码错误或者不显示的原因找到了,那么现在我们来总结一下解决办法。\x0d\1、如果是57版本的转移data目录引起的。\x0d\请改一下/include/vdimgckphp这个文件 这个文件里也调用了DATA里的文件也可以改路径,把带有这个 //data 改成你现\x0d\\x0d\在的路径。\x0d\2、查阅资料后得知,session没有清除,去data/session目录下,将除indexhtml以外文件全部删除就可以了。\x0d\3、如果还是不行,看session是否有写入权限,如果没有的话,给"internet来宾账户"添加写入权限,Linux的话,目录权\x0d\\x0d\限设置为"777"。4、设置服务器的phpini:打开phpini 文件找到;sessionsave_path = "/tmp" 改写成sessioncookie_path = /把\x0d\extension=php_gd2dll;将他前面的分号;去掉。\x0d\5、检查你的空间是不是满了,测试的方法是你可以随便上传FTP空间里一个文件,会有提示,你可以联系空间服务商。\x0d\6、直接去掉验证码:打开 loginphp 找到:\x0d\if($validate=='' || $validate != $svali)\x0d\替换为:\x0d\if( false )\x0d\然后,在模板dede/templets/loginhtm里去掉以下验证码的具体HTML代码:\x0d\验证码: \x0d\ \x0d\\x0d\或者是:在[验证码安全设置]里,说修改后的保存实际上是修改了data\safe\inc_safe_configphp 这个文件,这是个配置\x0d\\x0d\文件。 \x0d\比如:$safe_gdopen = '1,2,3,5,6'; 这个就是系统哪些地方开启验证码。与[验证码安全设置]界面是一对一的关系。 \x0d\所以,如果当我们管理后台想关闭验证码(如果验证码无法正确输入,不支持GB库)的时候,只需要打开data\safe\x0d\\x0d\\inc_safe_configphp 将$safe_gdopen = '1,2,3,5,6'; 中的6删除即可。不必去进行繁琐的设置。\x0d\如图\x0d\7、是修改include文件夹的vdimgckphp文件修改以下段落,\x0d\//Session保存路径\x0d\$sessSavePath = dirname(__FILE__)"//data/sessions/";\x0d\修改为//$sessSavePath = dirname(__FILE__)"//data/sessions/";\x0d\修改后,时管用时不管用,改回来也是这样的情况。如果把DEDE后台路径修改默认的DEDE文件夹,就不会出现验证码错误的\x0d\\x0d\情况。最后如果以上方法均不适用的话,那么你就重新安装下对应版本的程序,然后将您的css及文件,模板文件,upload文\x0d\件夹转移过来。最后还原数据库。
请尝试使用安全软件进行扫描,设备中存在木马一般是不良的上网习惯或者下载陌生的软件导致的。设备中存在木马一般的表现是自动下载其他垃圾软件、系统卡顿或者出现延迟、出现有遮挡的广告等问题。
若怀疑手机中存在木马或者病毒,请尝试按照以下步骤请尝试安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的问题,并且给出处理建议,点击一键清除即可删除病毒程序。
若怀疑电脑中存在木马,请尝试下载一款安全软件(例如:电脑管家等)进行全盘扫描和清理即可。也可以尝试下载木马专杀程序对电脑进行清理。若依然无法处理请尝试将硬盘全部格式化然后重新安装系统。
一、迅睿CMS安全性
1、系统后台安全设置
开启https、开启跨站验证、登录失败次数设置
定期修改密钥,该密钥用于Cookie数据加密,为了保证用户数据安全
2、目录权限(非常重要)
目录权限的配置非常重要,80%的网站系统入侵后成功挂马,基本上是权限设置不正确引起的。
迅睿CMS系统目录权限配置的原则为:
这样即使黑客侵入了网站目录,也不能轻易让木马在可执行PHP脚本的目录下运行,相当于把木马文件隔离起来了。
3、分离后台程序,个性化后台域名
不要把后台放在前端目录中,防止被猜疑利用。
我们强烈建议后台域名不要通过公网DNS解析,最好手动绑hosts文件访问。
如果有条件的话,后台更应该放置在***以及内网下访问。
4、禁止模版目录在线修改
迅睿CMS后台提供了在线修改模版的功能,提供了一定的方便,但是一旦黑客通过其他途径拿到了后台帐号密码,并进入了后台,就可以在线修改模版并植入木马程序。
为了安全起见,我们强烈的建议用户不允许在线修改模版,因为你方便,黑客们也喜欢。
通过FTP或SFTP软件来进行模版修改,同时开启FTP与SFTP的操作日志。
5、开启后台操作日志
作为网站管理员,养成定时查看日志的习惯才是好同志。
通过开启迅睿CMS后台的操作日志,并定时查看是否有非法登入后台的管理员账户,是否有非法访问后台地址的行为。
6、开启访客日志记录
实时查看网站访问数据和POST提交数据,统计用户的操作行为日志,记录源端口号、IP、设备信息。
7、补丁更新及安全检查
迅睿CMS使用过程中,如发现已知的安全漏洞,官方会在第一时间修复漏洞并提供补丁包,并通知我们的客户及时打上补丁,避免再次入侵,造成更大损失。
如果您在使用过程中发现有入侵现象,请及时与我们联系,我们会安排工程师进行网站扫描与清理工作。
8、数据库与网站备份
建议每天对网站程序和模版以及数据库进行备份,阿里云服务器可以用设置定时快照备份,大部分虚拟主机也有自动定时备份功能,以防出现故障后无法恢复 历史 文件。
二、服务器安全配置
虚拟主机安全性都是由服务商来设定;
云服务器建议安装BT面板的防火墙插件
三、其他开源程序的安全配置
如果您的服务器运行了不止迅睿CMS一个产品,还有如Discuz、DedeCMS、帝国CMS等开源产品,请及时关注这些产品的安全信息,并做好补丁工作。
第一,服务器安全。我 们大部分站长都是用的虚拟主机,有些人说这我们没有办法去选择和解决,我认为这个还是可以解决的。我们在购买主机的时候,可以试用几天,一般主机商都是可 以提供试用服务的,也或者要求主机商提供销售主机的IP给我们,我们可以通过同IP网站以及相关网站来分析目前服务器中的网站安全情况,如果你发现很多网站都被挂有黑链接,那说明服务器安全有一定的问题,选择的时候慎重考虑。
第二,程序的安全设置。我们需要根据织梦官方的设置要求,不要开放所有文件及文件夹的读写权限,有些文件夹设置
为只读状态,如果我们紧紧是用来做内容系统,而不让会员参与,我们可以删除MEMBER文件夹,因为很多安全都是通过会员的提权出现的。以及我们在程序安
装完毕后,要删除install文件夹,在设置数据库密码以及账户密码的时候尽量复杂一些,采用数字,大小写字母,以及字符混合作为密码。网站后台路径把
默认的DEDE修改成其他不容易猜测的。
第三,及时升级补丁。作为织梦官网,升级也是经常在做的,我们在登陆网站后台的时候,如果看到有升级提醒,需要及时升级文件,以防止因为没有升级造成漏洞入侵。一般常见的安全,官网会第一时间发现,并且提供补丁,这点如果我们及时做到,从网站角度考虑是没有问题的。
第四,密码设置安全。不论是我们网站的密码还是数据库密码,或者是FTP登陆密码,我们都需要设置安全一些。一个主机商朋友告诉我,最近出了一款什么FTP密码扫描软件,可以直接扫出弱密码,直接通过管理员登陆修改网站。
第五,定期数据备份。关于网站的安全,备份肯定每个人都知道,每个人也都会去备份。可能开始做网站的时候还会认
真定期备份,后面时间长了就忘记了,也懒得备份。等待网站出现问题
就后悔为什么没有备份。所以定期备份数据是任何网站都必须做的,比仅仅是DEDECMS,一般最好半个月或者一个月备份一次,根据自己网站数据和重要性。
有些主机商会帮助我们备份,比如一周备份一次,也有每天同步备份的,这就相当不错了。
以上5点建议,是我认为有效防止DEDECMS被入侵的5个有效方法,希望对大家有一个参考价值。
0条评论