商业源码 dedecms的后台系统基本参数设置的站点设置不显示。。求解决办法。
1 安装的时候数据库的表前缀一点要改一下,不用dedecms默认的前缀dede的,可以改成,自己的名字或者o或0以假乱真的写法。
2 后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。
3 装好程序后务必删除install目录。
4 将dedecms后台管理默认目录名dede改掉。
5 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
6 以下一些是可以删除的目录:
member 会员功能
special 专题功能
company 企业模块
plus\guestbook 留言板
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全。file_manage_controlphp file_manage_mainphp file_manage_viewphp media_addphp media_editphp media_mainphp
再有:不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。
不需要tag功能请将根目录下的tagphp删除。
不需要顶客请将根目录下的diggphp与diggindexphp删除。
7 多关注dedecms官方发布的安全补丁,及时打上补丁。
8 下载发布功能(管理目录下soft__xxx_xxxphp),不用的话可以删掉,这个也比较容易上传小马的
9 最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
10 还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据!
11 添加DedeCms官网出的万能安全防护代码(官网的要会员才能看),打开config_basephp文件,
找到以下这段代码://禁止用户提交某些特殊变量$ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);}}改为下面这段代码://把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(!empty($value)){${$ckv}[$key] = str_replace(‘<''','&''lt;''',$value);${$ckv}[$key] = str_replace('''>‘,’’’&’’gt;’,${$ckv}[$key]);}if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);}}//检测上传的文件中是否有PHP代码,有直接退出处理if (is_array($_FILES)) {foreach($_FILES AS $name => $value){${$name} = $value['tmp_name'];$fp = @fopen(${$name},’r');$fstr = @fread($fp,filesize(${$name}));@fclose($fp);if($fstr!=” && ereg(“<\”,$fstr)){echo “你上传的文件中含有危险内容,程序终止处理!”;exit();}}}
注意事项
• 网站安全是一点要的,要不然自己辛辛苦苦做的网站,让黑客入侵了修改了一些重要的信息,排名就会下降。
• 日志分析隔三差五的去做,这个可不能闲着,在日志分析中可以精确的得到一些重要的信息。
一、迅睿CMS安全性
1、系统后台安全设置
开启https、开启跨站验证、登录失败次数设置
定期修改密钥,该密钥用于Cookie数据加密,为了保证用户数据安全
2、目录权限(非常重要)
目录权限的配置非常重要,80%的网站系统入侵后成功挂马,基本上是权限设置不正确引起的。
迅睿CMS系统目录权限配置的原则为:
这样即使黑客侵入了网站目录,也不能轻易让木马在可执行PHP脚本的目录下运行,相当于把木马文件隔离起来了。
3、分离后台程序,个性化后台域名
不要把后台放在前端目录中,防止被猜疑利用。
我们强烈建议后台域名不要通过公网DNS解析,最好手动绑hosts文件访问。
如果有条件的话,后台更应该放置在***以及内网下访问。
4、禁止模版目录在线修改
迅睿CMS后台提供了在线修改模版的功能,提供了一定的方便,但是一旦黑客通过其他途径拿到了后台帐号密码,并进入了后台,就可以在线修改模版并植入木马程序。
为了安全起见,我们强烈的建议用户不允许在线修改模版,因为你方便,黑客们也喜欢。
通过FTP或SFTP软件来进行模版修改,同时开启FTP与SFTP的操作日志。
5、开启后台操作日志
作为网站管理员,养成定时查看日志的习惯才是好同志。
通过开启迅睿CMS后台的操作日志,并定时查看是否有非法登入后台的管理员账户,是否有非法访问后台地址的行为。
6、开启访客日志记录
实时查看网站访问数据和POST提交数据,统计用户的操作行为日志,记录源端口号、IP、设备信息。
7、补丁更新及安全检查
迅睿CMS使用过程中,如发现已知的安全漏洞,官方会在第一时间修复漏洞并提供补丁包,并通知我们的客户及时打上补丁,避免再次入侵,造成更大损失。
如果您在使用过程中发现有入侵现象,请及时与我们联系,我们会安排工程师进行网站扫描与清理工作。
8、数据库与网站备份
建议每天对网站程序和模版以及数据库进行备份,阿里云服务器可以用设置定时快照备份,大部分虚拟主机也有自动定时备份功能,以防出现故障后无法恢复 历史 文件。
二、服务器安全配置
虚拟主机安全性都是由服务商来设定;
云服务器建议安装BT面板的防火墙插件
三、其他开源程序的安全配置
如果您的服务器运行了不止迅睿CMS一个产品,还有如Discuz、DedeCMS、帝国CMS等开源产品,请及时关注这些产品的安全信息,并做好补丁工作。
您好,朋友。跟版网团队很高兴为您解答:
首先确认您是否用的是php53以上版本,网站用的编码是织梦gbk的,如果是的话,那么是织梦cms中函数不支持造成的,系统基本参数里可输入英文会显示,中文不显示,解决办法如下:
dede\templets\sys_infohtm里面搜索
htmlspecialchars($row[‘value’])
替换成
htmlspecialchars($row[‘value’],ENT_COMPAT ,’GB2312′)
最新版织梦已经加入了这个补丁,可通过后台更新网站补丁就可以了。值得注意的是更新前请记得最好数据备份,尤其是模板目录如果是默认的话,请做好模板目录文件备份。希望我的回答能够帮到您,如果不是以上原因,请继续跟进提问,我会继续为您解答。
您好,跟版网团队很高兴为您解答:
这个问题的话实现方法其实蛮多的,但是首选pc+手机端公用同一数据。当然如果有条件也可以搞成两个网站,不过维护起来比较麻烦。
首先一种方法,也是织梦最早使用的方法,用织梦后台的wap模块去开发wap模板,这种方法虽然比较早,但是使用的人还是比较少的。
最新版的织梦2015-8-26补丁,更新了织梦手机站模块,升级后会有一个m目录,这个目录会自动生成一个织梦手机网站,当然模板的话也可以去自己开发。具体我也没用过,建议您去了解一下。
还有一种方法就是对织梦进行二次开发,这种也就是比较麻烦的方法。不推荐新手去做这方面的二次开发。否则会搞的焦头烂耳。
以上只是推荐的几种实现方法。希望我的回答能够帮到您。跟版网-专业织梦模板定制和下载站,已经完美解决织梦pc+手机端。一:用CMS,有利于以后发展和壮大
二:dedecms简单一些
良好的用户口碑,丰富的开源经验
DedeCMS是国内知名内容管理系统,经过长达4年之久的广泛应用和复杂化环境的检测,织梦系统在安全性、稳定性、易用性方面具有较高的声誉,倍受广大站长推崇。
DedeCMS 采用PHP+MySQL技术开发,程序源代码完全开放,在尊重版权的前提下能极大的满足站长对于网站程序进行二次开发。DedeCMS是国内第一家开源的 内容管理系统,自诞生以来,始终坚持开源、免费原则。众所周知,开源程序在代码规范性、程序安全性有着较高的要求,DedeCMS拥有4年的开源经验,其 灵活的产品架构、极强的可扩展性和可伸缩性能最大化满足站长目前及今后的应用需求。
灵活的模块组合,让网站更丰富
往 往一个网站通过单一的内容发布系统是远远不能满足用户的需求的,尤其在Web20提倡互动、分享的大趋势下,用户非常希望在传统的内容信息网站中加入 问答、圈子等一些互动型的功能。但如果基于原来系统进行开发,整个系统易用性会受到影响,如果使用别的系统,整个网站就不能一体化管理,在这种问题 下,DedeCMS推出了模块的功能,程序用户可以像在Winodws里面安装软件一样,下载相应的模块进行安装,网站就会增加这些特殊的功能。
这样一来,更加方便软件用户对自己的网站进行扩展,达到自己满意的效果。
简单易用的模板引擎,网站界面想换就换
DedeCMS的模板引擎简单、易用,采用了XML标记风格,只要懂HTML就可以修改制作模板。
很 多的用户都为每次网站改版费尽苦心,因为按照老式的网站制作流程,改版需要修改的不单单是一个界面,还要涉及到程序修改。最后成了一次改版,几乎等于网站 重构。DedeCMS就解决了这一烦恼,只需要熟悉一些DedeCMS的模板标记,只要懂HTML,就能随意对模板文件进行修改,而且每次升级只 需要更新模板文件即可,做到了程序和页面很大程度上的分离。
便捷自定义模型
DedeCMS为用户提供了方便快捷的用户自定义模型,您可以使用这个功能根据自身需求来创建各式各样的站点,如果您了解部分二次开发知识,即能想到就能做到。
往 往很多站点,希望能够创建如在线视频播放、在线音乐试听,或者是商品信息发布等类型的内容站点,尽管这些模型系统中没有,但您现在可以使用 DedeCMS来自主创建,您只需要先想好自己内容的字段,如:专辑名称、演唱、发行日期等,然后思考这些字段是用哪种字段类型,如:文本、时间、文件上 传,接下来只需要在后台的模型管理中按照说明添加即可,想到就能做到。
这种模型的功能有一个很大的好处就是您可以自己去扩展网站后续的功能,不要再去花费财力物力去开发,免去了很多烦恼。
高效的动态静态页面部署
DedeCMS为用户提供了强大的动态静态部署的功能,用户可以在后台栏目中进行统一的设置,也可以对单独某一篇内容进行静态部署。
这种静态部署最大的优势在于:1减少数据库负担、降低人力维护成本;2利于搜索引擎对网站的友好程度,提高搜索引擎对网站收录量;3很大程度上提高了用户访问的效率。
这样一来,一些地区门户、行业网站、甚至政府部门信息类网站都免去了因为大量数据访问速率下降的后顾之忧。
灵活的商业运营模式
DedeCMS中提供了较为完善的会员产品体系、会员等级体系、虚拟货币管理体系,并且提供了较完整的支付接口方式,可以设置会员浏览不同内容进行金币消费,这样对行业门户、企事业单位制定开展各种基于网站平台的商业运营方案。
会员可以通过购买点卡进行充值,同时也可以购买包月、包年的服务来阅读某一部分的内容,如果某些内容只能给特定会员浏览,会员必须达到某个等级才能够扣点阅读,网站可以通过销售点券、会员等级服务进行盈利。
流畅专业界面设计,良好的用户体验
DedeCMS 的界面设计遵循国际最新W3C网页设计标准,在开发时期,我们经过IE6、IE7、火狐、Opera等主流浏览器上进行测试,都能够保证您 网站浏览的流畅、完整,DedeCMS页面设计遵循标准情况下尽量的减少了各个浏览器中存在的差异,系统不会因为不同的浏览器受到限制。我们优秀的页面设 计师能够让网站提高用户体验,及网站亲和力。
指纹验证,升级无忧
在全新的织梦系统中,新增加了文件指 纹校验功能,通过他你可以对比系统原始文件,以确保当前文件是否被修改,同时也可以同官方的原始指纹进行对比,来获取差异文件,这样更方便用户升级自己的 系统。同时,配合我们的病毒扫描程序,让您的网站的安全性得到进一步提升。当然,官方贴心的系统消息,不仅让您了解到当前版本系统最后更新日期,以便确认 是否有更新补丁,并且能及时了解DedeCMS最新信息,让您用的更加放心。
低维护成本
开发一个网站大家都知道需要动用大量的人力物力,不单单开发时需要耗费,后期维护升级也需要。因为必要的硬件投入必不可少,这时候只有有效控制开发、维护成本,才能够让用户的总成本降低。
这 样一来DedeCMS引入了独创模板引擎技术、自定义标签功能,实现网站程序和界面分离的平台搭建效果,改变了传统的“功能开发→页面设计→整合”制作 方式,达到降低人力成本的目的,当然我们内置的可视化编辑器可以让您的信息录入如同操作word软件一样方便快捷,上手也非常容易。
DedeCMS这种网站建设流程,让软件用户在不改变网站高效、轻便等特性的情况下还减少了总成本。
国际语言支持
DedeCMS从V53开始,以UTF-8国际编码为基准进行开发,让您的网站可以扩展任意一种语言。
会员互动,让您的网站火起来
一个网站最重要的就是用户,DedeCMS提供了强大的用户中心,通过会员中心可以让用户进行内容分享、交友、短信、个人空间等一系列的操作,甚至通过模块扩展还可以让会员进行群组交流、问答等互动。
网站需要有粘性,才可以留住用户,通过一个强大的会员中心可以留住您的网站用户,也可以寻找到盈利模式。
产品适合应用于以下领域:
企业网站:无论大型还是中小型企业,利用网络传递信息在一定程度上提高了办事的效率,提高企业的竞争力;
政府机关:通过建立政府门户,有利于各种信息和资源的整合,为政府和社会公众之间加强联系和沟通,从而使政府可以更快、更便捷、更有效开展工作;
教育机构:通过网络信息的引入,使得教育机构之间及教育机构内部和教育者之间进行信息传递,全面提升教育类网站的层面;
媒体机构:互联网这种新媒体已经强而有力的冲击了传统媒体,在这个演变过程中,各类媒体机构应对自己核心有一个重新认识和重新发展的过程,建立一个数字技术平台以适应数字化时代的需求;
行业网站:针对不同行业,强化内部的信息划分,体现行业的特色,网站含有行业的动态信息、产品、市场、技术、人才等信息,树立行业信息权威形象,为行业内产品供应链管理,提供实际的商业机会;
个人站长:兴趣为主导,建立各种题材新颖,内容丰富的网站,通过共同兴趣的信息交流,可以让您形成自己具有特色的用户圈,产生个人需求,并为其服务;
收费网站:内容收费类型的网站,用户可以在线提供产品销售,或者内容收费,简单清晰的盈利模式,确保您以最小的投资,取得最大的回报;
新增及升级功能列表:
1 增加批量创建栏目功能
2 栏目管理处增加“内容”项目,代替原来在栏目管理中使用单独页
3 增加内容模型导出、导入功能
4 内容模型增加“联动类型字段”的支持
5 取消内容模型原来的自定义主表功能,增加单表内容模型
6 增加内容回收站功能
7 增加“商品”模型,并提供相关支付接口
8 增加自定义表单功能
9 升级“模块管理”功能
10 升级评论系统
11 升级采集系统,主要亮点:
a、向导式创建规则
b、支持同一规则中指定多个不同的导出栏目
c、支持监控采集模式,简单重复采集历史内容是否有更新的过程
12 升级会员中心,在保证安全性的同时使里面的各项操作更简单易用
13 开放默认的文章系统 WAP 浏览模式
14 升级模板管理功能,除了可以方便的在线创建勾子碎片标签外,对主要的模板都进行了注解说明
15 升级了广告管理、友情链接等插件
16 增加在线切缩略图功能
17 增加了“挑错管理”功能,允许用户对错误信息进行反馈
18 优化列表统计引擎和缓存引擎,使系统在保证灵活性的同时也有更好的性能
19 增加初始文件效验功能
20 增加在线直接升级功能,更方便用户获得自己需要的升级包
21 支持栏目列表使用伪静态
22 支持游客投稿、模型投稿增加各种个性化设置
2011-8-19 DedeCMS全局变量初始化存在漏洞
描述:可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器,造成网站用户数据泄露、页面被恶意篡改等严重后果。
2012-3-21 DedeCMS官方源码被植入后门
描述:导致黑客可以执行任意代码从而控制整个网站或服务器
2013-3-29DedeCMS安全漏洞
描述:“本地文件包含漏洞”,发现时为“0day”,官方已修复
2013-4-1DedeCMS 爆SQL注入漏洞
描述:乌云平台曝光, “0day”,官方已修复
2013-5-2DedeCMS“重安装”高危安全漏洞
描述:被发现“0day”,通知官方修复并启用临时修复方案
2013-6-4DedeCMS 高危安全漏洞
描述:此漏洞为“0day”,官方已修复
2013-9-30DedeCMS 57版本高危漏洞
描述:乌云白帽子上报,“0day”,跨站脚本漏洞,可在前台插入恶意JS代码,黑客已经利用
2014-1-6DedeCMS会员投稿跨站脚本漏洞
描述:攻击者可通过“会员投稿”插入恶意代码,后台管理审稿时“中招”可导致网站被黑
2014-2-17swfuploadswf跨站漏洞
描述:该漏洞乌云平台上报,站长反馈网站在检测时检测出此漏洞,已提供修复方案
2014-3-4DedeCMS多个安全漏洞
描述:包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复
2014-03-05dedecmsV5738 GBK正式版20140305常规更新补丁 member/soft_addphp修复功能错误及存在的漏洞member/soft_editphp修复功能错误及存在的漏洞include/filterincphp修复功能错误及存在的漏洞2014-03-11dedecmsV5739 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732fxml新增畅言模块include/helpers/channelunithelperphp模板标签解析功能完善include/inc/inc_fun_funAdminphp更新提示站点迁移完善include/taglib/flinklibphp友情链接标签缓存完善2014-03-13dedecmsV5740 GBK正式版20140313常规更新补丁 include/helpers/channelunithelperphp修复一个标签解析错误2014-11-28DEDECMS官方网被黑,黑客在织梦服务器端植入恶意代码,所有织梦用户访问后台时会提示下载1exe文件,该程序为后门,一旦下载便会感染成为远控端,而且该病毒会实现反复感染。如果用户为IE浏览器,则会直接感染成为远控端。
0条评论