dedecms安全配置2018新

 kevin   2018-11-14 09:50   167 人阅读  0 条评论

最近在研究dede的漏洞,整理了一些dede安全设置的文章分享给大家。

一、数据库安全

dedecms数据库建议不要使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限,


二、删除无用的目录:删除网站根目录里的会员(member)、专题(special)目录、install安装程序(必删)、 company企业模块、plus\guestbook留言板、删除tag.php



三、设置目录权限

data/、templets/、uploads/、a/设置为644可读写不可执行权限

include/、member/、plus/、dede/文件夹设置为755可读可执行不可写入权限



四、修改帐号和密码  updata.dede_admin set userid='hzb9586' where id=1


五、数据库密码设置得复杂些。


六、修改后台管理目录


data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT)


七、DEDE管理目录下的:


删除:以file_xx .php开头的系列文件file_manage_control.php、file_manage_main.php、file_manage_view.php 及tpl.php【文件管理器,安全隐患很大】

删除:soft_add.php、soft_config.php、soft_edit.php【软件下载类,存在安全隐患】

删除:mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.php【邮件发送】

删除:media_add.php、media_edit.php、media_main.php【视频控制文件】

删除:以story_xxx.php开头的系列文件【小说功能】

删除:ad_add.php、ad_edit.php、ad_main.php【广告添加部分】

删除:cards_make.php、cards_manage.php、cards_type.php【点卡管理功能文件】

删除:以co_xx  .php开通的文件【采集控制文件】

删除:erraddsave.php【纠错管理】

删除:feedback_edit.php、feedback_main.php【评论管理】

删除:以group_xx .php开头的系列php文件【圈子功能】

删除:getdedesysmsg.php【】

删除:plus_bshare.php【分享到管理】

删除:以shops_xx .php开头的系列文件【商城系统】

删除:spec_add.php、spec_edit.php【专题管理】

删除:以templets_xx .php开头的系列文件【模板管理】

删除:vote_add.php、vote_edit.php、vote_getcode.php【投票模块】

删除:sys_sql_query.php文件【QL命令运行器】


八、plus目录下进行如下操作


删除:guestbook文件夹【留言板,后面我们安装更合适的留言本插件】;

删除:task文件夹和task.php【计划任务控制文件】

删除:ad_js.php【广告】

删除:bookfeedback.php和bookfeedback_js.php【图书评论和评论调用文件,存在注入漏洞,不安全】

删除:bshare.php【分享到插件】

删除:car.php、posttocar.php和carbuyaction.php【购物车】

删除:comments_frame.php【调用评论,存在安全漏洞】

删除:digg_ajax.php和digg_frame.php【顶踩】

删除:download.php和disdls.php【下载和次数统计】

删除:erraddsave.php【纠错】

删除:feedback.php、feedback_ajax.php、feedback_js.php【评论】

删除:guestbook.php【留言】

删除:stow.php【内容收藏】

删除:vote.php【投票】



本文地址:http://www.hikevin.cc/?id=31
版权声明:本文为原创文章,版权归 kevin 所有,欢迎分享本文,转载请保留出处!

发表评论


表情

还没有留言,还不快点抢沙发?