织梦DEDECMS系统是大家经常用的一款程序,深受个人站长及网络公司的喜爱,建站方便,成本低,并且有利于优化!但是官方对于织梦安全的更新速度也比较慢,导致很多的网站被挂马,所以只能自己做好织梦安全防范工作,这里跟大家详细讲述下几种织梦安全设置。

做好这几点,织梦CMS安全率达到99%(图1)

一、删除install安装目录

织梦安装完成后,网站根目录的安装目录install就没有作用了,为了防止别人利用,最好把install文件夹整个删除。也可以像上面说的,直接压缩即可。

二、修改后台管理目录名称

织梦默认后台管理目录是dede,很容易被黑客获知,因此建议修改后台管理目录文件夹,登陆FTP把网站根目录下的dede文件夹重命名,修改为其它名称即可。修改后登陆后台的URL即是:域名/修改后的文件夹名称/login.php

三、修改帐号密码

很多站长习惯使用admin作为用户名,密码也设置的比较简单,这非常影响织梦安全,管理员帐号密码要尽量设置复杂。

网站后台密码容易修改,不过修改admin账号需要一丢丢的技巧。

四、删除无用的目录

(1) 根目录下可以删除的目录/功能

(如果你用不到的话,member和special是必须删除的,大部分的木马文件都是在这2个目录下面):

删除member文件夹

member文件夹就是会员系统,织梦本身是自带里会员系统的,大家也可以在后台找到,但是很多都是做企业门户展示网站或者是个人博客网站,并不需要会员功能,所以并不需要会员系统,这时,大家就可以删除这个文件夹,删除他,不但可以防止攻击,还可减省了空间容量。

删除special文件夹

Special文件夹是专题的意思,这个文件是专题页面,所以大家放心删掉好了。

另外,网上有很多用tag做网站优化的教程,所以说后期要用tag做织梦安全优化的话,根目录下的tags.php可以先不删。

(2)管理目录(默认dede目录)以下是可以删除的文件:

管理目录下的这些文件是后台文件管理器(我们可以通过ftp软件进行文件管理),所以这个属于多余功能,而且最影响织梦安全,许多HACK都是通过它来挂马的

做好这几点,织梦CMS安全率达到99%(图2)

(3)plus目录下下是可以删除的文件:

删除:plus/guestbook文件夹【留言板,必删】

留言板类似于阿里云、腾讯云在线答疑功能,必须时刻盯着网站,不然就可能回复不及时。还不如用QQ、微信直接沟通方便。

做好这几点,织梦CMS安全率达到99%(图3)

做好这几点,织梦CMS安全率达到99%(图4)

如果织梦网站不需要那么多的功能的话,上面的都可以删除掉。

五、打补丁与下载织梦安全防护插件

多关注织梦安全官方发布的安全补丁,及时打上补丁。

可下载第三方防护插件,例如:织梦安全顽固木马后门专杀

六、设置目录权限

为防止木马被上传执行,对data、templets、uploads、a目录文件夹设置为644可读写不可执行权限,防止黑客上传木马

七、定期进行备份网站文件和数据库

备份永远是最好的保障,一旦网站被黑或被删除可以在第一时间恢复网站,最大限度地减少损失。建议织梦站长定期进行备份网站文件和数据库。(在本地和服务器上都要备份)

八、选用Linux系统服务器

基本上所有被挂马的几乎都存在同样的织梦安全设置问题,就是使用windows server 2003或2008系统,都是使用iis作为web服务器,win服务器相对于Linux来说安全性真的较差一些,而且大部分被人攻击都是首先服务器有漏洞。如果可以的话,最好选用Linux系统的虚拟主机或云服务器。