织梦安全防护措施及目录权限设置

发布时间：2020-12-14 04:19:33 所属栏目：Dedecms 来源：网络整理

导读：一、织梦安全防御措施目录权限设置设置可以读写的不给执行权限，可以执行脚本的不给读写权限将data、templets、uploads、a或html目录，设置可读写，不可执行的权限， ?include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入（安装了附

一、织梦安全防御措施目录权限设置

设置可以读写的不给执行权限，可以执行脚本的不给读写权限

将data、templets、uploads、a或html目录，设置可读写，不可执行的权限，

?include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入（安装了附加模块的，book、ask、company、group 目录同样如此设置）。

安装文件install不要删除、删除服务器的install文件夹、留着本地的install文件夹方便下次搬家使用

二、利用伪静态禁止某个目录php和htm等脚本运行

Linux系统的用户通常是apache环境，可以利用.htaccess文件来禁止php执行权限，在网站根目录新建.htaccess复制以下代码添加进去（如果已有.htaccess文件就直接复制就可以）

RewriteEngine on

#安全设置禁止以下目录运行指定php脚本

RewriteCond % !^$

RewriteRule a/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule imges/(.*).(php)$ – [F]

RewriteRule css/(.*).(php)$ – [F]

RewriteRule js/(.*).(php)$ – [F]

RewriteRule style/(.*).(php)$ – [F]

RewriteRule skin/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php|htm)$ – [F]

RewriteRule uploads/(.*).(php)$ – [F]

注意：这个在本地是禁止运行php和htm了，但是服务器是虚拟主机的还需要开启php.ini才会生效

怎么测试呢，就是放一个php或者htm到禁止的目录然后运行，出现404跳转才算生效，90%的人都不注意这个问题

三、删除plus中无用的文件

/plus/count.php? ?阅读次数统计? ? 保留? ??

/plus/diy.php? ? 自定义表单? ? ? ?保留? ??

/plus/list.php? ?动态浏览栏目页? ?保留? ??

/plus/search.php 搜索? ? ? ? ? ? ?保留? ??

/plus/view.php? ?动态浏览文章? ? ?保留?

/plus/flink.php? /plus/flink_add.php? ? 友情链接添加和删除? ? 如果用到友情链接的需要保留? ? ??

只要保留这个几个就好了，其他的统统删掉

/plus/download.php? ? 下载次数统计/下载功能? ? 如果用到软件下载功能的需要保留? ??

/plus/ad_js.php? ? 调用广告，企业站可以删除? ? 如果用到广告的可以保留，不过这个挂马严重? ??

四、删除后台文件在线管理功能，和用不到的功能统统删掉，删除用不到的多余的php和htm

五、member会员功能用不到的删除，用的到的就留下，删除用不到的多余的php和htm

六、更改默认的admin用户，改名或者更换其他id的用户做管理员，更改登录名和昵称

七、修改dede后台目录，最好字母、数字、符号都用列如dede改名为：H'12o@dede_l15op（字母、数字、符号都用改长点也可以）

更改dede目录下的index.php名字，例如：index1.php

更改dede目录下的login.php名字，列如：login1.php

更改dede/templets目录下的login.htm名字，列如：login1.htm

小提醒：具体操作在本站搜索“后台”

新建index.php 跳转改下url=https://www.52php.cn/member/index.php 有会员跳转到会员登录，没有就去掉member跳转到首页

<!DOCTYPE?html?PUBLIC?"-//W3C//DTD?XHTML?1.0?Transitional//EN"?"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html?xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta?http-equiv="Refresh"?content="0;?url=https://www.52php.cn/member/index.php"/>
<meta?http-equiv="Content-Type"?content="text/html;?charset=utf-8"?/>
<title>以朋友为名</title>
</head>
<body>
</body>
</html>

八、设置404.html，和其他错误页跳转，最好的就是在每个文件夹下新建一个空白的index.html禁止文件目录被访问

inde.html代码如下 url=https://www.52php.cn 跳转域名改为你自己的，或index.html者空白也页可以

<!DOCTYPE?html?PUBLIC?"-//W3C//DTD?XHTML?1.0?Transitional//EN"?"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html?xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta?http-equiv="Refresh"?content="0;?url=https://www.52php.cn"/>
<meta?http-equiv="Content-Type"?content="text/html;?charset=utf-8"?/>
<title>以朋友为名</title>
</head>
<body>
</body>
</html>

404.html也可以这样写放在网站根目录就好了

<!DOCTYPE?html?PUBLIC?"-//W3C//DTD?XHTML?1.0?Transitional//EN"?"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html?xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta?http-equiv="Refresh"?content="0;?url=https://www.52php.cn"/>
<meta?http-equiv="Content-Type"?content="text/html;?charset=utf-8"?/>
<title>404</title>
</head>
<body>
</body>
</html>

好了，织梦安全防御措施及目录权限设置教程到此结束。用织梦内核一定要做好安全、安全、还是安全。ps：如果连捣鼓都不会就不要用织梦内核了。

小提醒：最容易被挂马的目录就是plus、include还有根目录的index.php

最好在本地测试、修改模板然后上传、注意备份、一般的木马如果模板里面找不到的话，直接删除服务器的plus、include目录再上传本地的目录一般都能解决问题，所以，养成本地修改的好习惯，本地一定要做备份，去掉在服务器直接修改的习惯。

上一篇：织梦在其他页面调用指定标签TAG列表

下一篇：织梦黑帽SEO教程,给网站添加暗链代码,个人站可尝试

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!