Linux VPS安全之DedeCMS织梦安全设置与防黑挂马

DedeCMS织梦已经2年多没有更新维护了,但是因为DedeCMS织梦的功能很强大,而且国人开发的简单可操作,目前还有大量的网站基于DedeCMS织梦在运行.

而DedeCMS织梦在维护的时候都经常被挂马,何况现在没有维护了…
但是市面上的DedeCMS织梦网站目前太多太多了,据我说知市面上有很多专门扫DedeCMS织梦漏洞的自动挂马程序.
建议用WordPress建站,可以去我的WordPress易用教程看看,如果坚持使用DedeCMS织梦可以看看下面的详细安全教程:
下面的教程需要搭配云锁使用:  云锁-优秀可靠免费的Linux VPS安全维护管理工具
下面谈谈DedeCMS织梦安全设置及防黑挂马加固教程:
你可以选择安装好DedeCMS织梦网站后开始下面的设置.

步骤一: DedeCMS织梦安全设置之限制部分目录访问php:

如果是Nginx运行环境,添加网站伪静态规则

location ~* ^/(data|templets|uploads)/.*\.(php|php5)$
{
deny all;
}

或者这个DedeCMS织梦安全设置伪静态规则

location ~* /(data|templets|uploads)/(.*).(php)$ {
return 403;
}

解释: 限制这几个目录的php文件被外部访问(网站内部调用无影响)

重启Nginx或者Apache环境后,你可以再访问data目录的php文件试试,应该访问不了了.
这一步很重要,因为DedeCMS织梦的
data目录如果外部可以访问那么漏洞就暴露了
uploads目录是上传文件的保存目录平时上传的图片,而挂马的人可以上传伪装文件然后访问php后缀执行挂马.
templets目录是模板存放目录,也不需要外部访问php文件.
如果是Apache运行环境,添加网站伪静态规则
Apache运行环境的伪静态规则存放于网站根目录,文件名为.htaccess ，如果你网站根目录已经存在.htaccess，那就复制代码添加进去。

RewriteEngine on
#安全设置 禁止以下目录运行指定php脚本
RewriteCond % !^$
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php|htm)$ – [F]
RewriteRule uploads/(.*).(php)$ – [F]

步骤二: DedeCMS织梦安全设置之修改后台路径dede

ftp登录服务器在DedeCMS织梦网站根目录找到dede更名为其他名称.
可以修改为任意英文名,比如修改为 vpsyi,那么以后你的后台登录地址就改为了:http://www.*****.com/vpsyi/

步骤三:DedeCMS织梦安全设置之目录权限设置

1.DedeCMS织梦的include目录直接设置为555权限.[去掉写入权限以及修改权限]
include这个目录是DedeCMS织梦主程序目录不二次开发不会去修改,但是挂马的人却会直接去修改.
因为DedeCMS织梦的include不能外部屏蔽访问,所以555非常重要
2.DedeCMS织梦的uploads 【附件目录】设置为666权限[去掉执行权限]
uploads是后台上传文件后存放的默认目录,如果上传的木马文件可以直接运行那你的网站就完了.
如果已经按照步骤一设置了伪静态那么uploads的权限可以不管了.

步骤四: DedeCMS织梦安全设置之删除不必要的文件

这些DedeCMS织梦文件是可以直接删除的:
member文件夹 [会员功能]
DedeCMS织梦的member会员功能目前几乎没见网站用了,如果你是展示类的资讯网站或者企业网站可以直接删除整个文件夹.
install [安装程序(一定要删除)]

下面这几个文件夹可以选择删除或者用云锁防篡改锁住.
推荐用云锁的防篡改功能直接让文件无法修改与创建.
点击查看介绍: 云锁-优秀可靠免费的Linux VPS安全维护管理工具
special [专题功能]
company [企业模块]

步骤五: DedeCMS织梦安全设置之plus目录重点介绍

plus是DedeCMS织梦的插件目录,因为plus目录极度不安全.
你如果是新手可以选择直接删除它.
老手可以选择云锁防篡改直接锁住这个文件夹或者只保留下面这些文件
Img 文件夹，这个是主要是CSS样式在里面，所以保留，如果删除了，会造成发布文章时界面有点乱，所以要保留
ad_js.php 这个文件时广告位，因为有些模板用到了后台调用广告位，可以选择删除或者保留.
Diy.php 这个是留言系统，有些模板上有用户在线留言功能，用到的就是这个，如果你不确定，建议保留
Search.php 这个是搜索功能，也就是网站上的搜索功能，建议保留
List.php 这动态栏目，DedeCMS织梦如果是生成静态文件那就用不到,如果你是动态访问那就保留
View.php 这个是动态文章，DedeCMS织梦是生成静态文件那就用不到,如果你是动态访问那就保留
count.php 这个是文章点击浏览次数统计，建议保留。

步骤六: DedeCMS织梦安全设置之dede目录部分文件处理

这个如果你的dede目录改名了,且外人不知道的话可以不用处理.

删除dede目录的以下文件
1.下面这几个是DedeCMS织梦广告设置的文件 你的广告位是手动添加或者没有广告那就删除

ad_add.php
ad_edit.php
ad_main.php
adtype_main.php

2.下面这几个是DedeCMS织梦会员点卡功能,我觉得应该没人用 直接删除

cards_make.php
cards_manage.php
cards_type.php

3.下面这几个是DedeCMS织梦文章评论功能 如果没用到这个 直接删除

feedback_edit.php
feedback_main.php

4.下面这几个是DedeCMS织梦附件管理就是文件上传功能,保留还是删除看自己

file_class.php
file_manage_control.php
file_manage_main.php
file_manage_view.php
file_pic_view.php

5.下面这几个是DedeCMS织梦这几个是自由列表管理 基本上的模版都没用到这个

freelist_add.php
freelist_edit.php
freelist_main.php

6.下面这个是DedeCMS织梦开发商广告,保留还是删除看自己

getdedesysmsg.php

7.下面这几个是DedeCMS织梦这几个是圈子功能,保留还是删除看自己

group_edit.php
group_guestbook.php
group_main.php
group_notice.php
group_store.php
group_threads.php
group_user.php

8.下面这几个是DedeCMS织梦邮件管理功能,保留还是删除看自己

mail_file_manage.php
mail_getfile.php
mail_send.php
mail_title.php
mail_title_send.php
mail_type.php

9.下面这几个是DedeCMS织梦开发商广告,保留还是删除看自己

mda_main.php

10.下面这几个是DedeCMS织梦附件管理就是文件上传功能,保留还是删除看自己

media_add.php
media_edit.php
media_main.php

11.dede文件夹内member_开头的是DedeCMS织梦会员相关功能,保留还是删除看自己

member_do.php
member_feed_edit.php
member_guestbook.php
....

12.下面这几个是DedeCMS织梦站内新闻,看你网站是不是那种多人登录吧…应该没人用

mynews_add.php
mynews_edit.php
mynews_main.php

13.下面这几个是DedeCMS织梦 自定义标记

mytag_add.php
mytag_edit.php
mytag_main.php
mytag_tag_guide.php
mytag_tag_guide_ok.php

14.下面这几个是DedeCMS织梦会员订单功能

shops_delivery.php
shops_operations.php
shops_operations_cart.php
shops_operations_userinfo.php

15.下面这几个是DedeCMS织梦专题功能

spec_add.php
spec_edit.php

16.dede文件夹内story_开头的是DedeCMS织梦小说功能,删除吧,不得不说当年织梦还是挺强大的

story_add.php
story_add_action.php
....

17.下面这几个是DedeCMS织梦投票功能,删除吧

vote_add.php
vote_getcode.php
vote_edit.php
vote_main.php