谁清楚phpcms和dedecms各个缺点和优点?
一经常检查网站数据
一般被挂马的网站大部分是长期无人管理维护的网站,尤其是一些企业网站,包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因,后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆,所以尽量定期抽出时间检查下你不常更新的网站。
二dedecms系统漏洞
由于dedecms的流行,用dedecms仿站成了被黑客攻击的目标之一,从dedecms51到现在的57,依然有部分漏洞,用dedecms做的网站要注意以下几点,
1修改默认后台(dede)路径
2删除install安装目录
3如果不需要使用会员可以直接删除member目录
大部分黑客入侵dedecms网站就是利用会员投稿功能,上传木马文件。
三禁止重要文件和目录被执行、写入
dedecms系统网站可以做如下设置
1以下目录:data、templets、uploads、a设置可读写不可执行权限。
2以下目录:include、member、plus、dede设置为可读可执行不可写入权限。
目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。
四网站被入侵以后如何处理
1用备份文件覆盖
2没有备份的话,找出最近被修改的文件,查看这些文件是否包含恶意代码。
3找出网站程序多出的文件,重点注意网站根目录是否有未知文件。
五ftp和服务器安全设置
建议使用linux服务器,ftp和服务器用户名和密码要设置复杂点,尽量用字母+数字+特殊符号,使用独立服务器或者vps的要详细了解服务器安全配置方面的教程,确保服务器安全。
1、data、templets、uploads、a这几个文件设置为可读不可执行权限。a文件保存的是默认的html文件看,可以在后台修改。
2、include、member、plus、dede设置为可读可执行不可写入权限。dede文件夹修改别的名字,这是后台默认登录地址后缀名,用过的织梦的都知道,所以改了吧。
3、如果你的网站没有没有会员登录,专题。可以删掉member、special这两个目录。
4、安装完织梦程序之后,删掉安装的文件install。
5、织梦后台登陆默认登录账号密码都是admin,不要以为把dede文件夹名称改了就以为防患于未然了,一定要做到位。
6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限。
7、定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复。万一哪天我们的站被黑了,清空了,还能再上传到服务器,完好无损。
8、plus目录删除 ,可以安装一些安全插件。如果是做企业网站用不到会员登录,专题。可以删掉member、special这两个目录。
建议最好还是经常性备份网站,这样才是最安全的。
phpcms优点:
1 模块化安装,非常适合安装,拆卸,和拿到市场上去交易非常方便的。
2 灵活的标签语法,非常强大。
3 缓存做的非常优秀。几乎支持目前主流的几大缓存系统解决方案,file缓存,eaccelerator缓存,memcache缓存,shmop缓存等
4 安全性也不错的。后台为了防范入侵,采用了cookie和session同时存在验证技术,才可以安全进入后台。
多次登录失败,开启验证码功能。防止机器人频繁猜口令。
5 数据库。 在根目录下的include目录下,db_accessphp db_mssqlphp db_mysqlphp 等,就照着他的方法,在增加几个也没问题的。
6兼容性。是在php4的基础上开发的,所以向下兼容性是不错的。在include/globalfuncphp 这个文件可以看到很多 if(!function_exist()){ },这些代码就是为了兼容php4相关函数。
phpcms缺点:
1 后台对应的模块的功能列表url,从数据库中读取的,也即是,安装的时候,将url写入数据库了。这个如果二次开发要修改的话,不是很方便的,最好是写到文件中,读取文件内容,方便开发者开发,而且也更容易维护,如果是出于安全考虑的话,不妨加下密也可以的。
2 分部式。 后台的某些功能模块,还是要调用各个应用模块的admin部分,相关*.inc.php文件. 如果我要把其中某个模块或应用独立出去部署到其他的服务器上,就不方便了。
3数据库设计问题,后台开设模型时,表的引擎只能是myIsam,而不能选择其他的,字段的类型,比如要开设一个字段为number,类型为int,但是在新增加的模型表中还是以varchar出现,而不是int,长度是默认的255modelfiled表,才发现该系统是将类型写到该表中了。
4加密/解密程序。目前已经在想相关安全网站已被爆以破解。这也不是什么新闻了。在开发中,关注下相关安全厂商发布的漏洞。
5 数据库抽象层。 就以上提到的几个数据库文件。 db_mssqlphp db_mysqlphp db_accessphp 等对于数据库分布式,应该没问题的。 数据库抽象层处理数据比较快,且快平台更容易且更容易维护,这个是需要考虑的。
Dedecms功能实用,模板功能使用简单。
0条评论