详解简单修改DEDECMS织梦模板防止网站挂马的教程

这篇具有很好参考价值的文章主要介绍了详解简单修改DEDECMS织梦模板防止网站挂马的教程。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

网站安全都是服务器配置、文件权限控制和网站程序三者的相互配合,如果要对DedeCms网站程序的修改来提高安全性。"可执行的文件不允许被修改,可写文件不允许被访问"这是网站权限控制的根本原则,网站程序在"可写文件不允许被访问"方面可做许多工作。我们可以在如下几个方式做好保护:

1、改名根目录下的data目录,或者移动到网站目录外面

data目录便是最藏污纳垢的地方,系统经常要往这个目录写数据,这个目录下的任何一个文件又都可以通过URL访问到,所以要让浏览器访问不到里面的文件,就需要将此目录改名,或者移动到网站的目录外面去。这些,即使别人通过漏洞往文件里写进了一句话木马,他也找不到此木马所在的文件路径,无法继续展开攻击。因为DedeCMS程序的不合理,导致改名data目录动作会比较大,具体做法如下:

a.将公开的内容迁移到pub目录(或者其它自定义目录)下,如rss、sitemap、js、enum等,此步骤需要移动文件夹,并修改这些文件的生成路径

b.修改引用程序目录

c.修改data文件夹名称,并修改include/common.inc.php文件里的"DEDEDATA"的值,再在后台系统设置》参数设置里修改模板缓存目录,即可修改完成。以后也可以按照此步骤来更改data文件夹名称。

2、改名"dede"管理目录,并加固

如果把后台隐藏好了,即使别人获得了你的管理员账号、密码,他也无从登录。

a.在/dede/config.php里,找到如下行:

//检验用户登录状态 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
} 

把上面代码,改为:

//检验用户登录状态 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
//header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
header("HTTP/1.0 404 Not Found"); 
exit(); 
} 

b.修改/dede/login.php的文件名称,并对应的修改/dede/templets/login.htm里的表单提交地址;

c.修改/dede/的目录名称;

这样,别人在没有登录前,只能访问/dede/login.php改名后的地址,访问其他地址均会获得404错误。

当然,做了安全加固后,以后DedeCMS的升级就会有一些麻烦。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持yii666。文章来源地址https://www.toymoban.com/news/detail-432871.html

到了这里,关于详解简单修改DEDECMS织梦模板防止网站挂马的教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • dedecms系统安全设置 防止入侵,挂马的基本安全操作方法

    尽管dedecms是一款功能强大的开源程序,几乎大部分的网站都是用这个开源程序做,而用的人太多,漏洞也是逐渐的被发现,50%左右的dede网站基本都有过被挂马,被入侵情况。 在此,yii666小编想说明一下我们的服务器的安全稳定性是非常高的,这一切原因都是dede漏洞造成的。

    2024年02月03日
    浏览(42)
  • 详解DEDECMS织梦模板随机调用文章数据方法汇总教程

    有时我们为了网站优化都会对网站最后一些文章停止随机读取显现,这样能够进步网站对搜索引擎的体验,下面我们就来剖析总结一下dedecms随机调用文章数据办法. 方法一 ,直接利用artlist中的orderyb=rand 即可实例,代码如下: 代码如下: [field:title/]{/dede:arclist} 方法二 ,利用自定做法

    2024年02月02日
    浏览(47)
  • 详解DeDeCMS织梦手机版网站首页如何更新

    织梦网站更新包含PC端更新和手机端更新,两个更新方法不一样。 对于织梦老站长来说,都知道PC端的首页如何更新,但手机版的更新有点不一样,这里重点介绍一下,其实非常简单 手机版首页更新操作 需要修改模板路径,如图所示,修改后,点击更新主页HTML 这样,大功造

    2024年02月02日
    浏览(44)
  • 详解织梦模板DEDECMS搜索结果调用自定义字段的方法

    在搜索页调用自定义字段,使其可有让用户搜索这个自定义字段,找了好多文章和教程,却发现dedecms的标签底层模板字段不包括这个字段呢?这就大大限制了灵活性,但也不可能让所有字段都允许调用的,那样就会大大降低系统效率,所以今天分享的是一个比较完美解决这个

    2024年02月02日
    浏览(59)
  • dedecms织梦模板中plus文件作用介绍及安全设置详解

    织梦国内第一大开源程序,之所以容易中毒,因为研究它的人太多了,用户量太大了,有可乘之机和商业用途。所以成了很多黑客下手的对象。 官方网站下载了Dedecms安装包以后,解压出来,有一个uploads文件,这里面的文件夹才是网站的安装文件,里面文件很多,今天小编就

    2024年02月02日
    浏览(38)
  • 详解织梦模板DEDECMS对discuz论坛的一些常用调用代码

    dede调用DZ论坛帖子及特定板块帖子的调用方法 论坛最新主题: 调特定板块的主题: 显示精华帖: 论坛之星/活跃会员: [field:username/] 贴子:[field:posts/] 加入:[field:regdate function=\\\"GetDateMK(@me)\\\"/] {/dede:loop} /bbs/space.php?uid=[field:uid /] 个人信息地址 /bbs/uc_server/avatar.php?uid=[field:uid /

    2024年02月02日
    浏览(47)
  • 详解织梦模板DedeCms获取缩略图的高度和宽度的代码

    某些瀑布流的代码要求图片必须带有高度,而织梦默认的缩略图仅仅是储存的图片路径,想要输出图片的高度就必须用别的办法,目前我只想到用getimagesize这个函数了,这也是相对比较简单的实现方案了, 但是在实际应用的过程中貌似有个问题,我也搞不懂是什么原因,具体

    2024年02月02日
    浏览(46)
  • 详解织梦模板DEDECMS核心类TypeLink.class.php功能分析

    DedeCMS 核心类TypeLink.class.php摘要笔记,学习php就是借鉴与分析,让自己的掌握的更多。 注:\\\'//+\\\' 表示为本人另外加上的注释 功能一,获得某类目的链接 代码如下: 功能二,获得某类目的链接列表 如:\\\'类目一类目二\\\' 这样的形式。 代码如下: 功能三, 获得类别列表 高级搜索功

    2024年02月02日
    浏览(35)
  • dedecms织梦模板列表页单独调用总页数二次开发教程详解

    本文介绍了dedecms织梦模板列表页单独调用总页数二次开发教程,分享给大家,也给自己留个笔记,具体如下: 效果演示: 利用{dede:pagelist listitem=\\\"info,index,end,pre,next,pageno,option\\\" listsize=\\\"3\\\"/} 找到了一个比较快的一个独立调用的办法。 开发方法 1、打开 include/arc.listview.class.php 找

    2024年02月02日
    浏览(53)
  • 详解织梦dedecms做的网站首页标题篡改跳转赌博网站解决方案

    织梦dedecms因其强大功能,简单实用的优点常常被用来做企业网站,程序开源使用的人多了网站漏洞多会有中毒的情况,常见的有一种,首页标题描述被篡改,百度快照收录点击后跳转的赌博网站,怎么解决这个问题呢? 首页要做的是搜索程序里的恶意php文件,对比官

    2024年02月02日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包