最全织梦dedecms防挂马方法总结

原创 SEO培训  2019-08-04 10:03  阅读 4 views 次 评论 0 条

织梦DEDEcms系统在门户网站用的非常多,网上针对这个程序的漏洞利用工具也是非常多。所以使用dede织梦系统的一不留神就会被挂马或挂黑链,引起排名变化、或者服务器对外发包、成为webshell。今天总结一下最全织梦dedecms防止被挂马的方法。 一、使用复杂组合密码 这个有点像废话,但是却是非常必要的。每个账户尽量使用不同密码,以防止被社工(不明白社工什么意思的可以看一下“社工教程”)。其次使用复杂组合密码,如字母+数字+符号的组合,这样的复杂度连收费的cmd5也未必能查出,所以即使泄露了或者被爆出网站密码,仍然可以防止被拿到权限。 二、修改默认端口 把可以修改的默认端口都换成自定义的,如FTP的默认端口为21,mstsc的默认端口为3389,这些都有必要去修改。扫描弱口令基本上都是通过默认端口去扫。修改后会相对安全一点。 三、修改默认管理路径 织梦的默认后台地址是/dede,这个目录是可以自定义的。修改后,即使密码和用户名被查询出来了,找不到后台管理入口也是没用的。之前的版本可以通过各种方法爆出后台路径,但是最新版本暂没有方法爆出。 四、把织梦的data目录迁出 这个目录是非常容易被利用的一个目录,把此目录移出网站根目录,使其在web页面上无法直接访问。这样即使被写入一句话牧马,也是没有用的。在菜刀上是无法连接的,因为文件在可访问的目录之外,找不到路径。改变其目录后,还需要修改一下/include/common.inc.php的常量。搜索查找data,并替换为更改后的目录。如果是使用虚拟空间无法操作,也可以使用重命名这个data文件夹,一样的效果。 五、删除不必要的模块功能 程序的功能越多,被利用的空间也就越大,我们可以进行缩减,把一些用不上的的模块删去。如: /install 这个是安装程序,安装完后即可删除。 /member 这个是会员系统,没有开放会员注册的可以删除 /special 专题目录,用不到的话也可以删除 /company 企业功能模块,如用不到也可以删除 /plusguest/book 留言板,用不到同样可以删除; /sys_sql_query.php sql命令执行文件,用到的时候可以加上去 六、及时更新网站程序 每个新版本都会修改和完善一些功能及修复已知漏洞。当有新版本或新的升级补丁务必及时升级更新,操作前需要进行数据的备份,以免升级后出现各种问题。 七、服务器安装网站防护软件 为避嫌广告,我这里就不一一举例了。如XX盾、XX狗之类的。 结尾再说一下,即使我们把以上的都做好了,还不能保证百分百安全,所以我们还需要定时检查网站,分析网站各方面的情况,如统计数据、流量、收录和排名情况,做到每天检查。同时定期备份网站数据,以免在发生意外的情况,可以把风险降到最低。 收 藏

历史上的今天:

本文地址:https://www.dgseo163.com/seos/7701.html
关注我们:请关注一下我们的微信公众号:扫描二维码黑帽seo | SEO技术核心算法培训_黑帽优化实战赚钱技术推广 – 黑桃K的公众号,QQ:1358589665
版权声明:本文为原创文章,版权归 SEO培训 所有,欢迎分享本文,转载请保留出处!

评论已关闭!