用DEDECMS搭建网站的安全篇:默认模板路径漏洞

用DEDECMS搭建网站的安全篇:默认模板路径漏洞,第1张

1、后台备份数据,备份成功后打包整个网站数据,下载到本地电脑。切记!

2、安装全新的dedecms系统,安装完成后,登录后台。

3、上传备份数据文件夹/data/backupdata,覆盖到相应的目录。

4、后台-恢复还原数据。到了这里,只是把数据恢复了。

5、上传模板templets、附件资源uploads文件夹,覆盖相应的目录。记得先检查这些文件夹里,有没有非dedecms原程序文件,比如0day木马文件等。

6、做安全设置,限制目录权限

7、删除没用的文件:

装程序后一定要删除install目录;

修改dedecms默认后台目录dede

不知道你的

织梦

什么版本,

问题解决方案

如下:

1、你采集的规则设置有问题,没有采到标题,导入时才有问题!可重新设置采集规则,采集后重新导入!(重点推荐方案)

2、如果想导入空标题,修改co_exportphp文件相关代码

3、备份数据库、模板、后,重新安装,新版本

一般是你网站程序有漏洞才会被挂马的,有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一:挂马预防措施:

1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。

2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!

序,只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!

10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二:挂马恢复措施:

1修改帐号密码

不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步:修改后台里的验证文件的名称。

第二步:修改connasp,防止非法下载,也可对数据库加密后在修改connasp。

第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛,可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。

7谨慎上传漏洞

据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

大体试用了一下三个系统,得出了一个比较粗浅的结论:

1、phpcms:

phpcms自2007版本开源以后才开始引起广泛关注,但这次也是头一次研究。用了几天,有了一点初步的印象。(以下以2007版为例,2008版尚未正式推出)

粗看起来,phpcms 2007是三者中最为完善的,各项功能考虑的很细致,导致进了新手进了后台先要晕半天才行。各项功能,比如UNIX系统的权限、模版修改、广告、商城、信息、单网页。。。。都做的相当的完备了。

发表文章的关键字、作者、来源、自动远程保存等等,都做的不错。但是,phpcms发表文章的摘要,似乎是只能自动截取,不能手工设置,灵活性欠佳。

发表的文章可以通过关键字来索引相关贴,做的不错。

支持通行证方式进行论坛和其它系统的整合,可以进行正向和反向两种方式的整合。但是文档说的不太清楚,研究了半天才成功。但是反向整合pw501登录后自动跳转不回来。

phpcms 2007的后台安排的太琐碎,看的头晕。发一篇文章也要晕半个钟头,而且首页的更新莫不清规律,幻灯片老半天不更新。

phcms尽管功能很强大,但是却缺少一样重要的东西:可视化的模版工具,这也是php168和dedecms共同的缺点。在这方面,他们甚至不如刚刚起步的DiyPage好,DiyPage只是一个刚刚具备了雏形的CMS系统,却拥有一个很方便的后台可视化界面设计工具,即使是菜鸟也可以轻松设计界面(虽然灵活性没那么强大,但是足够你用了)。

phpcms 2007整体以频道为依据进行组织,即使你不想用频道,哪也得用,这个已经由不了你了 。所以如果仅仅是一个比较简单的网站,也用上一个频道,看起来够别扭的,这是phpcms 2007最大的缺点,不过看了phpcms 2008beta2发现,phpcms终于解除了这个垃圾限制。

发现phpcms的广告功能似乎不完善,一个广告位定义了两个广告,不能自动轮换,总是显示第一个。

phpcms虽然实现了模块化,但是不管你用不用,一大堆模块稀里呼噜就装上了,看起来很不爽,也不直观。

phpcms虽然是很早就是商业化运作的软件,然后开发效率却是不高,新版本屡屡跳票,影响了它的产品形象,让开源以来积累的人气和一些拥趸大失所望。然而最近贴上了六间房以后,资金应该是没有压力了,新版本也开始浮出水面,2008beta1已经发布了,可惜问题多多。

phpcms 2008 beta2 在 MySQL4 上还是有使用问题,不过比beta1强一些,beta1直接就安装不了,不知道正式版是否会正式放弃MySQL4。

phpcms 2008beta2看上去不错,新功能令人振奋的,界面清爽。以前一团乱麻的后台界面已经打扫干净了。phpcms 2008的标签采用了中英文混合的方式,对菜鸟来说更加容易上手,比较新颖。另外,beta2好像是实现了类似php168的可视化模版中的标签设置方式,虽然不是可视化的设计模版,总归可以自定义一些元素样式了。不过这个beta2版也还是顶多算是个预览版,BUG极多,功能不全。如果准备用phpcms的话,怕是还要大大的等几天才行。

另外,phpcms官方论坛对免费版的支持很不到位,伤了很多粉丝的心。

2、dedecms

51应该是dedecms正式商业化运作以后推出的第一个版本吧?以前的dedecms个体作坊式的发展,由于作者兼职时间和精力不足,导致发展缓慢,新版本频频跳票,引起广大粉丝的强烈不满,甚至导致柏拉图和dedecms用家之间的语言冲突。然而dedecms在商业化运作以后,新版本的发布周期大大缩短,产品功能不断改进,界面美化了很多,人气和用户数量大大增长了,现在看发展势头不错。

dedecms的根目录是最简单的,只有几个文件,比以上两个都强多了,其实这样不仅看起来清爽,维护起来也方便,值得表扬

dedecms的频道非常费解,看起来只有频道模型,要增加频道就要添加模版文件有点费解,仔细研究发现,这个dedecms其实和php168的方式差不多,任何栏目都可以添加子目录,绑定域名,其实就和频道是一个意思,栏目和频道可以互相转换。

dedecms的通行证只支持反向整合,就是dedecms可以用服务端的用户数据登录。其实所谓整合,一般也就是这样的。论坛用整站用户数据的情况恐怕极为少见,对论坛管理也不利。

但是dedecms的通行证整合,需要修改论坛文件,不明白为啥要这样,是因为论坛的通行证功能还不完善吗?

dedecms的广告管理用起来比较麻烦,要先定义标签,然后手工在模板中插入。好像模版上没预定义好广告位置,实在是太不应该了。。。。相当于手动操作,不符合当今历史潮流啊。而且大家常用的广告自动轮换功能,也没有实现。

试用发现,dedecms有时还有一些小毛病,比如远程附件功能,有时发现无法自动转存到本地。另外,在模块数量上,dedecms也无法和php168和phpcms相比,只有文章、下载、、Flash等基本的功能,不知道dedecms 2007发布以后能否有所改观

dedecms的相关文章、热点文章等功能,用了静态生成的方式直接写入到了HTML文件中,这样在生成HTML后,无法自动更新,需要经常手工重新生成全部HTML才能更新相关文档和热点文档。但是大量的重复生成所有HTML文件效率太低下了,这方面dedecms不如php168最新添加的相关文章功能,是用JS方式实现的,不需要更新HTML就能自动索取最新的相关文章。但是使用JS方式也存在服务器效率的问题。

dedecms的首页、列表页、还有文章页都使用了单独的模板,没有使用header和footer模板,这样的好处是可以产生各种风格的页面(允许首页、列表页、内容页使用不同的风格),但是缺点是修改添加头部和底部广告、导航条的时候,相当费劲,要一个一个模板的修改。而且dedecms的版权声明字段设置太小,只有250字节,写不进去多少内容,顶多能添加个计数器就不错了。

dedecms起步就用了类似XML标签方式,而且官方还提供了Dreamweaver的插件来识别标签,应该说在国内是比较独到的。但是这种方式也需要新手一定的时间才能适应。同时,dedecms一直缺乏比较完善的文档,也进一步加大了菜鸟上手的难度。

dedecms最大的问题就是没有提供类似Diypage的可视化设计方式,因为标签比较难于上手,对新手来说做模板是很头疼的问题。

dedecms 51比40功能有了很多进步,增加DIGG功能,还有类似分类信息之类的功能都实现了。不过也有退步,比如关键词、相关帖功能都严重退步了,发帖也很不方便,而且dedecms在商业版本和免费版本之间做功能和代码区分,也自然会在免费版本上有所缩水。

dedecms商业化发展以后,目前出现的问题是免费版的技术支持做的不太到位,比phpcms强不了多少。

3、php168

php168关注很久了,却一直没怎么用过。当年整合论坛的30版给俺很深的印象,可惜论坛没有坚持下去。最近php168的开发工作很强劲,推出了N多模块,让人看的眼晕。

看过了phpcms的后台,再进php168的后台,感觉舒服多了,简洁多了,但是功能还可以。

php168的频道不是强制的,好像是栏目和频道可以转换,灵活性比phpcms强多了

关键字功能没有实现相关贴功能,不爽(新版本已经增加了,用JS方式实现的动态调用)。

php168一直不是用通行证实现整合论坛,这方面做的不好,灵活性欠佳。需要CMS和论坛安装在同一个数据库才行。

首页的标签设置,php168提供了一个可视化的工具,可以直接在上面设置标签,修改标签属性,这方面做的比phpcms强多了。虽然不能设计主页模板,但是可以方便的修改首页模板中元素的内容和显示方式,对菜鸟来说比较不错。dedecms的标签提供(或者公布)的属性比较少,想定制样式是比较麻烦的,目前可能是需要直接用PHP语句来修改。

但是要实现广告功能,还是要像dedecms一样,先定义标签,然后手工修改模版,有点太麻烦了,汗。另外,好像也没实现广告自动轮换功能()。

php168实现了模块化,可以一个一个的装,看起来比phpcms清爽多了

php168页面模板也是使用了标签方式,但是模板代码好像是类似phpwind的方式(这不奇怪,php168的作者本来就是从phpwind插件开发开始的),代码和模板的分离程度比较差,这个东西其实是个双刃剑,因为用php代码方式,灵活度是最大的,也不用像dedecms一样,标签难以上手,扩展困难;但是缺点也很大,就是不懂编程的人士难以上手,特别是美工和程序的分离不彻底(php168的官方模版就不如dedecms漂亮,不知道是不是这个原因)。

php168比dedecms多了一个可视化的首页标签定制功能,能设置首页元素的显示内容,显示方式,这是比dedecms略强了一些,有总比没有强啊。

因为php168研究的比较少,其它功能没仔细测试过,就不多讲了。总体来说,如果php168能稍加完善,其实是一个相当不错的整站程序。

  分享一下dede如何进行广告设置

  1、首先,登录网站dedecms管理后台。

  2、默认dede后台,点击“辅助插件”栏目,进入“广告管理”插件,如果网站做过二次开发的后台,可以直接点击“添加广告”按钮。

  3、进入“广告管理器”后点击“插入一个新的广告”按钮,当然,如果网站预计广告位会比较多的话,可点击“广告分类管理”根据个人网站情况合理设置广告分类,方便后期进行广告管理。

  4、进入“增加广告”,根据喜好和需要设置“广告位标示”、“广告分类”、“广告位名称”、“时间限制”等数值,并根据个人情况和需要设置广告类型。在广告联盟接到的广告一般是“代码”形式。

  5、登陆广告联盟,获取广告代码,或者自接的广告代码,亦或者广告,广告链接等。并将广告代码添加到网站,“广告管理”中的“广告类容-广告代码”处,并确定保存。

  6、回到“广告管理”器,在刚添加的广告位后,点击“代码”按钮,测试广告内容是否正常显示,如果不显示,刷新页面或者重新修改广告代码。如果正常显示,则记下“织梦CMS标签调用代码”,如:{dede:myad

name='ad1'/}

  7、回到dede管理后台首页,点击“模板管理”选项,进入“默认模板管理”栏目,然后找到首页模板indexhtm,然后广告位设置到其他页面就找到相应页面的模板。并点击“修改”按钮打开indexhtm首页模板

  8、可以在网站后台“模板修改器”中直接修改模板代码,也可以将代码复制下来用代码编辑软件编辑。

  9、将刚新建的广告位的“织梦CMS标签调用代码”,如:{dede:myad

name='ad1'/}复制出入到indexhtm首页模板的适当位置(根据网站页面效果和广告尺寸斟酌设置)

  10、将广告代码设置好后,保存,或者从Dreamweaver中ctrl+a全选,复制到网站编辑器,然后保存。然后点击“HTML更新”按钮,进入“更新主页HTML”栏目。

  11、在““更新主页HTML”栏目”进行更新主页操作,并预览广告效果,如果现实不理想,可重复9-10步骤,设置。如果,显示效果理想,则广告添加完成。若添加下一个广告,或者多条广告,重复1-10步骤便可。

资料来源:http://newsnetshop168com/cgal/1220249683html

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 用DEDECMS搭建网站的安全篇:默认模板路径漏洞

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情