商业源码 关于dede织梦cms如何防止黑客攻击的几点建议
1、后台备份数据,备份成功后打包整个网站数据,下载到本地电脑。切记!
2、安装全新的dedecms系统,安装完成后,登录后台。
3、上传备份数据文件夹/data/backupdata,覆盖到相应的目录。
4、后台-恢复还原数据。到了这里,只是把数据恢复了。
5、上传模板templets、附件资源uploads文件夹,覆盖相应的目录。记得先检查这些文件夹里,有没有非dedecms原程序文件,比如0day木马文件等。
6、做安全设置,限制目录权限
7、删除没用的文件:
装程序后一定要删除install目录;
修改dedecms默认后台目录dede
大部分容易!我给几组数据。比如中国CMS中,最最流行的是DedeCMS,看这几年DedeCMS都出现过多少严重的漏洞:,截个图如下:
想知道影响面?ZoomEye一下即可知道:,截图如下:
中国(很多VPS在美国)。你们能知道DedeCMS漏洞百出吗?你们能知道官方不负责吗你们能知道有多少网站早已沦陷了吗99%的人根本不关心这个,攻击者爽了,养活了一个庞大的底下产业链,基于这些被黑的网站作为跳板去黑网民!!比如QQ里传播的欺诈网址,如下是被拦截的情况:
但是,这么多被黑的DedeCMS网站,QQ不可能都拦截,否则有可能误杀好网站,这导致了黑产利用这个缺陷传播那些不会被QQ拦截的欺诈网址,黑产哪来那么多网址不都是这样黑下来的吗?我们经常联合QQ打击这些,根本打不完!还有按照我们团队(知道创宇安全研究团队)的历史应急响应情况来看,平均每天应急一个影响面还算小的高危漏洞(比如几千、几万个网站可能会被黑),平均每季度会出现一个影响全球的高危漏洞(数十万、百万网站可能都会遭殃的)。
1、修改后台目录:安装好网站之后第一步就应该修改后台目录,把默认的dede随意改成其他名字,最好是MD5加密形式的;(一般的普通用户不会使用md5加密,那就把后台目录改得复杂一点吧,只要自己知道就行了)
2、设置复杂的后台密码:密码应该由大写字母、小写字母和数字组成;(后台密码想多复杂就改多复杂,最好用个记事本记着,太复杂的密码容易忘,特别是企业网站用户,长时间不更新网站密码就忘了织梦者也是深有体会的呀)
3、安装的时候数据库的表前缀最好改一下,不用dedecms默认的前缀dede_,可以改成其他的名称如bdw_;(这一条您如果是找人做站的一定要提前知会建站的人把前缀改掉要不然用了默认的前缀,那到最后谁都头疼)
4、删除安装文件install:安装后应立即把install文件删除;(这个一定要删除)
5、不用会员系统,就把member整个文件夹全部;(一般的dedecms做的企业站是用不到member这个文件夹的删了吧)
6、用不到留言本,就把plus下的guestbook文件删除;(这里说的是用不到留言本 看清哦 企业站有很多用户都会要个留言本 )
7、不用下载功能,就把管理目录下的soft__xxx_xxxphp删除;(一般的企业站和文章类型的网站也用不到下载功能)
8、如果是使用HTML,可以把plus下的相应文件和根目录下的indexphp删除;(大家都喜欢生成静态的网站,搜索引擎也喜欢 所以还是删了吧)
9、不用专题功能可以把special文件夹删除;(专题大多数朋友都用不着)
10、用不到企业模块可以把company文件夹删除;(这个模块可以不要)
11、不用下载发布功能可以把管理目录下soft__xxx_xxxphp删除;(同第八条)
12、删除后台的文件式管理器:通过后台的文件式管理器,可以修改网站的任何文件,为了安全,建议把管理目录下file_manage_xxxphp删除;(嗯 织梦者一般都用这个功能改css 删了吧 黑客很厉害的)
13、如果不需要SQL命令运行器的可以把管理目录下的sys_sql_queryphp删除;(这个可以通过sql命令改任何东西的哦 不会用sql的删)
14、另外一些用不到的文件都删除,还可以把数据库里面不用的表删除掉;(建议对dedecms比较熟悉的客户便用)
15、保持更新,及时打补丁。(这是必须的)
上面是一些常用的防攻击方法,最好的办法是定期备份,并把备份文件下载到电脑安全的地方保存好,网站如果被攻击,把空间里面的文件全部删除,上传备份文件即可。
dedecms漏洞危害主要有:
1泄漏管理员密码和所有网站数据,用户辛苦搭建的网站被人窃取,或公司网站丢失商业数据。
2被黑客上传恶意程序,并用于攻击其他网站。该恶意程序将瞬间消耗完服务器带宽,无法提供正常服务。
为降低dedecms受漏洞影响被黑的可能,请进行以下操作:
1更改管理员密码,加强密码强度
2更改后台管理地址
3关注官方论坛,第一时间更新dedecms补丁
4使用腾讯电脑管家等安全软件对利用该漏洞的钓鱼盗号网站进行拦截。
0条评论