Was soll ich tun, wenn Dedecms oft betrogen wird?

Was soll ich tun, wenn Dedecms häufig aufgehängt werden?

Den Webmaster-Freunden gewidmet, die häufig aufgehängt werden Seien Sie bei jedem Schritt vorsichtig, um ein Hängenbleiben des Pferdes zu verhindern.

Empfohlene Studie: Dream Weaver cms

Wie im Titel:

Ich sehe oft einige Freunde Sagen Sie „DEDECMS Es gibt ein Sicherheitsproblem mit dem Programm und meine Website wurde erneut gehackt.“

Ich denke, dass es laut Quellcode des Benutzerformulars von dede kein Problem geben sollte

Es gibt so viele Benutzer von dedecms, ich fürchte, es werden nicht nur ein paar Freunde sein, die es nutzen.

Das Folgende sind SQL-Injection-Methoden, die häufig von Hackern verwendet werden, und Dinge, auf die jeder achten sollte

1.. Verwenden Sie Tools, verwenden Sie Hacker-Tools, um die Schwachstellen von zu überprüfen Ihre Website ~ Missbrauchen Sie sie natürlich nicht. Verwenden Sie einfach eine Hacking-Software, die SQL einfügt, um Ihre Website zu überprüfen (z. B. D-Injektor usw., ich habe sie alle verwendet und keine Lücken oder Stellen gefunden, an denen Dede dies tun kann). Wenn Sie mir nicht glauben, können Sie es natürlich auch testen, nur weil ich es nicht weiß, aber Sie sollten auch wissen, wie viele Freunde es verwenden ist eine Schwachstelle, die leicht zu erkennen ist, die Anzahl der hängengebliebenen Websites wird wahrscheinlich erschreckend sein)

2 .Die Backend-Adresse muss nicht als Backend verwendet werden Freunde wissen nicht einmal, dass der Dede-Backend-Ordner umbenannt werden kann! ?

3. Es ist am besten, im Hintergrund einen Bestätigungscode hinzuzufügen. Obwohl es etwas mühsam ist, kann es viele kleine Hacker davon abhalten, Social Engineering zu nutzen, um Ihre Website zu knacken (ich habe es versucht, viele Freunde). Passwörter sind oft Mobiltelefonnummer, Domänenname, QQ usw.)

4. Wenn Sie Ihrer Website Felder zum Filtern hinzufügen (z. B. Benutzer müssen bei der Bewerbung Geburtstage eingeben usw.), tun Sie dies nicht Geben Sie DEDE die Schuld an Ihren eigenen Problemen. (Es wird empfohlen, dass Freunde mit bestimmten PHP-Kenntnissen es ändern. Um die Funktion zu erreichen, ist es nicht so einfach, ein Formular im Vordergrund hinzuzufügen, ein Veröffentlichungsformular im Hintergrund hinzuzufügen und dann Datenbankfelder hinzuzufügen. Um XSS zu verhindern Bei Angriffen müssen Sie auf das Hinzufügen von htmlspecialchars und mysql_escape_string() achten.

5. Es gibt auch viele Freunde, die einige kleine Programme in ihrem eigenen Bereich verwenden, um Funktionen hinzuzufügen (ich habe diese Programme auch verwendet und vergessen, sie zu löschen , aber sie wurden blockiert), wie zum Beispiel: Fotoalben, Registrierung und andere Programme. Die Autoren dieser Programme sind alle unbekannt, und ihre Programme bergen grundsätzlich bestimmte Risiken. Einige Hacker können dies ausnutzen und das Blackeyes-Pony hochladen (das heißt). , ein Trojaner), um das Recht zu erlangen, Ihren virtuellen Raum zu nutzen, und verwenden Sie dann einfach Tools, um stapelweise Pferde zu besteigen.

6. Ignorieren Sie nicht die Risiken von IDC-Serveranbietern. Um Ihre Website zu hacken, verwenden sie oft kein Point-to-Point-Cracking, sondern wählen die Seite Die einzige Möglichkeit besteht darin, andere Websites auf demselben Server wie Ihren zu knacken. Es ist für andere sehr einfach, herauszufinden, wer die Nachbarn Ihrer Website sind Wenn Sie selbst dieselbe IP verwenden, geben Sie einfach Ihre IP-Adresse ein: https://www.xx.net). Es ist auch sehr einfach, andere Benutzer auf demselben Server zu knacken und Sie dazu zu bringen, aufzulegen (ich habe damit auch die Websites anderer Leute aufgehängt). Verfahren). Bei einigen guten Servern, die stark genug sind, um diese Einschränkung zu bewältigen, tritt dieses Problem nicht auf.

7. Außerdem ist es am besten, die von Ihnen aktivierte Benutzer-Upload-Spalte streng zu kontrollieren. Wenn der Hacker Ihr Backend nicht knackt, wird es viel schwieriger, Sie aufzuhängen Laden Sie ein Tool zum Besteigen von Pferden hoch. Denken Sie daran, zu prüfen, ob Ihre Website das Hochladen von Dateien wie html.php.asp zulässt.

8. Achten Sie immer auf die von Dede offiziell veröffentlichten Sicherheitspatches. Einige Sicherheitslücken können aus zwei Gründen von anderen ausgenutzt werden (Dede achtet tatsächlich darauf). Es ist ersichtlich, dass DEDE immer noch auf Sicherheitsprobleme achtet. Im Februar veröffentlichten einige Hacker-Websites Artikel über Malware für Websites, die diesen Patch nicht angewendet haben Ich bin sehr sprachlos, ich hoffe, dass jeder jederzeit auf die offiziellen Sicherheitspatches achtet)

9. Einige Freunde laden die Dateien oft nach dem Gewinn des Pferdes in dieses Forum hoch und hoffen, dass alle gemeinsam lernen können zu sagen: „Das Ding kann nicht hochgeladen werden. Es gibt eine Möglichkeit, dies zu verhindern, da der JS oder Iframe nicht der Schlüssel ist. Wenn Sie es hochladen, kann jeder nur die verschlüsselte Datei entschlüsseln.“ Was andere zurücklassen, ist nur ein Zweck , kein Werkzeug.

10. Unwiderstehliche natürliche Faktoren, wie zum Beispiel ein Super-Top-Hacker, der versucht, Ihre Website zu hacken. Glauben Sie mir, dass die Hacker, die Ihre Website hacken, Probleme haben werden Anfänger und Tool-Hacker: Wenn Sie das oben Genannte tun, wissen diese Hacker nicht, was sie tun sollen.

Ich wollte das zuerst nicht posten, aber ich weiß nicht, warum ich am Ende so viel geschrieben habe!

Der Zweck der Veröffentlichung dieses Artikels besteht einfach darin, zu hoffen, dass es jeder kann Schützen Sie ihre Websites und verwenden Sie keine bösen Worte!

Wenn es aktuelle Schwachstellen oder andere Hacking-Methoden gibt, werde ich so schnell wie möglich einen Artikel auf dede veröffentlichen~

Wünsche allen viel Glück !

Das obige ist der detaillierte Inhalt vonWas soll ich tun, wenn Dedecms oft betrogen wird?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!