怎样避免dedecms的webconfig被篡改
首先看你熟不熟PHP了,织梦的话方便简单,适合企业网站和小型网站。
mcms虽然多功能,但是改动比较麻烦,不懂PHP改起来也麻烦。
如果是企业网站的还是建议织梦吧,最新的织梦安全性应该足够了,直接放虚拟机。除非你自己的服务器安全性好。
在配置前需要确认你的空间是否支持htaccess和rewrite,该方法基于htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/()(php)$ – [F]
RewriteRule data/()(php)$ – [F]
RewriteRule templets/()(php)$ – [F]
针对uploads,data,templets 三个目录做了执行php脚本限制;
将如上内容存储至到hatccess文件中,将该文件存放到你的站点根目录下,
第一,服务器安全。我 们大部分站长都是用的虚拟主机,有些人说这我们没有办法去选择和解决,我认为这个还是可以解决的。我们在购买主机的时候,可以试用几天,一般主机商都是可 以提供试用服务的,也或者要求主机商提供销售主机的IP给我们,我们可以通过同IP网站以及相关网站来分析目前服务器中的网站安全情况,如果你发现很多网站都被挂有黑链接,那说明服务器安全有一定的问题,选择的时候慎重考虑。
第二,程序的安全设置。我们需要根据织梦官方的设置要求,不要开放所有文件及文件夹的读写权限,有些文件夹设置
为只读状态,如果我们紧紧是用来做内容系统,而不让会员参与,我们可以删除MEMBER文件夹,因为很多安全都是通过会员的提权出现的。以及我们在程序安
装完毕后,要删除install文件夹,在设置数据库密码以及账户密码的时候尽量复杂一些,采用数字,大小写字母,以及字符混合作为密码。网站后台路径把
默认的DEDE修改成其他不容易猜测的。
第三,及时升级补丁。作为织梦官网,升级也是经常在做的,我们在登陆网站后台的时候,如果看到有升级提醒,需要及时升级文件,以防止因为没有升级造成漏洞入侵。一般常见的安全,官网会第一时间发现,并且提供补丁,这点如果我们及时做到,从网站角度考虑是没有问题的。
第四,密码设置安全。不论是我们网站的密码还是数据库密码,或者是FTP登陆密码,我们都需要设置安全一些。一个主机商朋友告诉我,最近出了一款什么FTP密码扫描软件,可以直接扫出弱密码,直接通过管理员登陆修改网站。
第五,定期数据备份。关于网站的安全,备份肯定每个人都知道,每个人也都会去备份。可能开始做网站的时候还会认
真定期备份,后面时间长了就忘记了,也懒得备份。等待网站出现问题
就后悔为什么没有备份。所以定期备份数据是任何网站都必须做的,比仅仅是DEDECMS,一般最好半个月或者一个月备份一次,根据自己网站数据和重要性。
有些主机商会帮助我们备份,比如一周备份一次,也有每天同步备份的,这就相当不错了。
以上5点建议,是我认为有效防止DEDECMS被入侵的5个有效方法,希望对大家有一个参考价值。
phpcms优点:
1 模块化安装,非常适合安装,拆卸,和拿到市场上去交易非常方便的。
2 灵活的标签语法,非常强大。
3 缓存做的非常优秀。几乎支持目前主流的几大缓存系统解决方案,file缓存,eaccelerator缓存,memcache缓存,shmop缓存等
4 安全性也不错的。后台为了防范入侵,采用了cookie和session同时存在验证技术,才可以安全进入后台。
多次登录失败,开启验证码功能。防止机器人频繁猜口令。
5 数据库。 在根目录下的include目录下,db_accessphp db_mssqlphp db_mysqlphp 等,就照着他的方法,在增加几个也没问题的。
6兼容性。是在php4的基础上开发的,所以向下兼容性是不错的。在include/globalfuncphp 这个文件可以看到很多 if(!function_exist()){ },这些代码就是为了兼容php4相关函数。
phpcms缺点:
1 后台对应的模块的功能列表url,从数据库中读取的,也即是,安装的时候,将url写入数据库了。这个如果二次开发要修改的话,不是很方便的,最好是写到文件中,读取文件内容,方便开发者开发,而且也更容易维护,如果是出于安全考虑的话,不妨加下密也可以的。
2 分部式。 后台的某些功能模块,还是要调用各个应用模块的admin部分,相关*.inc.php文件. 如果我要把其中某个模块或应用独立出去部署到其他的服务器上,就不方便了。
3数据库设计问题,后台开设模型时,表的引擎只能是myIsam,而不能选择其他的,字段的类型,比如要开设一个字段为number,类型为int,但是在新增加的模型表中还是以varchar出现,而不是int,长度是默认的255modelfiled表,才发现该系统是将类型写到该表中了。
4加密/解密程序。目前已经在想相关安全网站已被爆以破解。这也不是什么新闻了。在开发中,关注下相关安全厂商发布的漏洞。
5 数据库抽象层。 就以上提到的几个数据库文件。 db_mssqlphp db_mysqlphp db_accessphp 等对于数据库分布式,应该没问题的。 数据库抽象层处理数据比较快,且快平台更容易且更容易维护,这个是需要考虑的。
Dedecms功能实用,模板功能使用简单。
接触帝国cms已经有一些时间了,最近又接触了dedecms,下边就说说最新的感受。 1首先从模板方面来说,dedecms的免费模板还是比较多的,这个得益于广大的dede用户共享。dede的官方模板可以直接使用。而帝国的官方提供的模板是table格式的,比较偏老了。当然如果你有一定html和css基础的还是自己来做的好,毕竟dedecms官方默认模板对于百度收录来讲并不是很好了现在。 2论坛的人气,帝国cms和dedecms的人气还都可以,热心程度感觉帝国cms比dedecms高些。 3版本的更新,帝国以大版本形式更新,dedecms以小版本形式更新,总体来说dede版本快于帝国。 4安全方面:dedecms关注的人比较多,市场占有率相当的高,因而成为黑客的挂马对象,入侵率比较高,容易被黑,而帝国cms而言安全方面则比较好。 5说说使用者最关心的模板制作方面:dedecms的模板标签设计相对帝国cms来说比较更容易入手,从本人自己制作的网站对比,相同的模板页数,dedecms的模板制作速度要快于帝国cms。 6seo优化方面,dedecms要比帝国cms稍胜一筹。 7伪静态生成速度,由于小数据量,无法对比出效果。不过从帝国cms最新的动态来看,才用新结构的帝国cms对于海量数据的处理更有优势。 8模板修改方面,由于帝国的模板在后台进行编辑,要比dedecms的更方便修改。 9个人对比,两个站分别用dedecms和帝国cms收录相对较快的是帝国cms,这个可能跟网站性质和结构内容运作也有关系。
0条评论