织梦cms安全配置方法

　　织梦cms安全问题一直是个老大难，cms中常常被黑的也是dedecms网站。通过百度总结了一些提升织梦安全性的办法，通过以下设置可以显著的提高织梦的安全性。

　　1 删除不必要的目录

　　安装好织梦后，需要立即删除install目录，如果不需要使用会员、专题（99%的用户都用不到），可以直接删除member、special目录。

　　2 删除不必要的文件

　　plus文件建议只保留如下文件：ad_js.php，count.php，list.php，search.php，view.php，其余的删除。

　　plus文件夹中的文件功能如下表，如果没用到可以删除。

　　文件名

　　文件说明

　　建议

　　guestbook文件夹

　　留言板

　　删除

　　img文件夹

　　图片

　　删除

　　task文件夹

　　计划任务

　　删除

　　ad_js.php

　　调用广告，如果你的广告不是通过后台“广告管理”设置的，可以删除该文件

　　保留

　　advancedsearch.php、heightsearch.php

　　高级搜索，一般只用到search.php

　　删除

　　arcmulti.php

　　异步方式调用指定的tag列表，用不到，删除吧

　　删除

　　bookfeedback.php、bookfeedback_js.php

　　图书评论和评论调用文件，存在注入漏洞，不安全

　　删除

　　car.php、posttocar.php、carbuyaction.php

　　购物车

　　删除

　　comments_frame.php

　　调用评论，存在安全漏洞（现在一般都用第三方评论，不再用织梦自带的评论）

　　删除

　　count.php

　　统计文章阅读次数

　　保留

　　digg_ajax.php、digg_frame.php

　　文章的顶踩功能

　　删除

　　disdls.php、download.php

　　下载次数统计、下载功能

　　删除

　　diy.php

　　自定义表单

　　保留

　　erraddsave.php

　　文章纠错

　　删除

　　feedback.php、feedback_ajax.php、feedback_js.php

　　评论相关功能

　　删除

　　flink.php、flink_add.php

　　友情链接、友情链接添加（建议删除，否则容易暴露模板路径）

　　删除

　　freelist.php

　　自由列表

　　删除

　　guestbook.php

　　留言

　　删除

　　list.php

　　动态浏览栏目页

　　保留

　　mytag_js.php

　　自定义标签js调用方式（如果没用到后台的自定义宏标记，请删除）

　　删除

　　qrcode.php

　　生成二维码

　　删除

　　recommend.php

　　信息推荐

　　删除

　　rss.php

　　RSS列表页

　　删除

　　search.php

　　搜索

　　保留

　　showphoto.php

　　显示大图片（图集模型会用到）

　　删除

　　stow.php

　　收藏文章

　　删除

　　view.php

　　动态浏览文章

　　保留

　　vote.php

　　投票

　　删除

　　3 修改默认后台文件夹名称

　　默认的后台通过域名/dede访问，请修改为其他名称，越不容易被猜出来越好，可以使用英文+数字等形式。修改方式为直接重命名dede文件夹的名称即可。

　　4 后台新建新的管理员账户，删除默认的admin用户

　　4.1 新建管理员账户

　　点击系统->系统用户管理->增加管理员，填写登录账户及密码等信息，用户组选择‘超级管理员’

　　4.2 删除默认的admin用户

　　点击系统->SQL命令行工具，运行SQL命令：delete from dede_admin where id=1;

　　5 迁移data目录到web目录外

　　data目录存在比较严重的安全隐患，很有必要将data目录移动到站点目录以外。

　　实在没有条件迁移到站外的同学，也请***要将data目录改一个名字。

时间：(2024-02-06 14:10:22)
本站资源均来自互联网或会员发布，如果不小心侵犯了您的权益请与我们联系。我们将立即删除！谢谢！