最近频繁遇到一些使用dedecms作为内核来使用的站点被挂马,含php-ddos在内的各类木马,在这里和朋友们分享下如何加强dedecms的系统安全。

在这里主要讲从dedecms系统本身做好安全防护!服务器自身的安全设置就不再说了。

1:更改管理后台路径。

2:删除根目录下member,plus,special等所有现有网站用不到的目录或者文件

3:将所有静态文件统一放置到默认的A或者一个新建的目录下面,如:htm, 禁止根目录下面的A等静态文件存放目录、data、p_w_picpaths、template、uploads等上传文件类目录的脚本执行权限。

4:整个根目录只给与读取权限,根目录下面的文件或目录单独设置权限,虽然比较麻烦但是很安全。

除以下目录和文件外,其他任何目录和文件均不给于写入修改权限,。

根目录下面的A等静态文件存放目录、data、uploads等上传文件类目录,index.htm(首页静态文件,如果您选择生成静态的话)

5:将data目录下面的common.inc.php只给与读取权限

7:及时更新官方的安全补丁。

8:建议安装彩影antiarp,经常观察是否有异常流量或者TCP SYN或UDP等攻击,这个软件本身是作为arp防护的,巧的是在安全方面也起到了很好的检测作用!一旦发生对外TCP SYN攻击,可以迅速发现掌握问题所在的应用池,为排查提供方便。

9:经常检查dedecms下面的文件或者目录,是否被更改或存在异常文件,及时清理!

总之,要经常检查做好网站数据备份,防范于未然!如果您的服务器安全设置也做得很好,相信不会有什么大问题了!
出自(http://www.baoluowanxiang.com/a/cms/dedecms/)