>  기사  >  CMS 튜토리얼  >  DreamWeaver를 사용하여 구축한 웹 사이트는 악성 코드 해킹을 어떻게 방지할 수 있습니까?

DreamWeaver를 사용하여 구축한 웹 사이트는 악성 코드 해킹을 어떻게 방지할 수 있습니까?

青灯夜游
青灯夜游원래의
2019-11-19 13:52:141924검색

중국에서 가장 널리 사용되는 CMS 중 하나인 DedeCms는 종종 취약점에 시달립니다. 광고 및 팝업부터 서버가 고기 기계가 되는 것에 이르기까지 모든 취약점은 큰 영향을 미치며 귀중한 데이터가 손실됩니다. 그렇다면 DedeCms의 보안을 향상시킬 수 있는 방법은 없을까요?

DreamWeaver를 사용하여 구축한 웹 사이트는 악성 코드 해킹을 어떻게 방지할 수 있습니까?

먼저 PHP 프로그램에 종종 허점이 생기는 이유를 살펴보겠습니다. 사실 이는 PHP 프로그램 자체에서 결정됩니다.

PHP는 재사용성이 낮기 때문에 프로그램 구조가 복잡하고 코드가 중복되어 취약점 생성이 용이할 뿐만 아니라 취약점 복구에도 영향을 미칩니다.

PHP 프로그램은 시작하기 쉽고 일반적으로 오픈 소스입니다. , 많은 사람들이 코드를 직접 읽을 수 있도록 하고 이러한 방식으로 취약점을 검색하면 꾸준한 취약점이 발견되고, 수정되고, 발견될 것입니다.

현재 널리 사용되는 PHP 시스템은 파일을 캐시로 사용하는 데 익숙하며, 이는 파일의 쓰기 권한을 열어야 하며 이는 의심할 여지 없이 PHP 시스템의 약점이 됩니다.

현재는 거의 발생하지 않는 "인젝션" 공격 외에도 PHP 시스템에 대한 대부분의 공격은 시스템의 취약점을 이용해 쓰기 가능한 파일에 트로이 목마를 삽입하여 셸을 획득합니다.

웹사이트 보안은 항상 서버 구성, 파일 권한 제어 및 웹사이트 프로그램의 협력이었습니다. 오늘은 보안 향상을 위해 DedeCms 웹사이트 프로그램을 개선하는 방법을 주로 살펴보겠습니다. "실행 파일의 수정은 허용되지 않으며, 쓰기 가능한 파일의 접근은 허용되지 않습니다." 이는 웹사이트 권한 제어의 기본 원칙입니다. 웹사이트 프로그램은 "쓰기 가능한 파일의 접근이 허용되지 않습니다"에서 많은 작업을 수행할 수 있습니다. .

DedeCMS를 예로 들면 다음과 같은 방법으로 보호할 수 있습니다.

1. 루트 디렉터리 아래의 데이터 디렉터리 이름을 바꾸거나 웹사이트 디렉터리 외부로 이동하세요.

데이터 디렉터리는 악과 악이 가장 숨기는 곳입니다. 시스템은 종종 이 디렉터리와 그 안에 있는 모든 파일에 데이터를 씁니다. 이 디렉터리는 URL을 통해 모두 접근할 수 있으므로 브라우저가 내부 파일에 접근하는 것을 방지하려면 이 디렉터리의 이름을 바꾸거나 웹사이트 디렉터리 외부로 이동해야 합니다. 누군가가 취약점을 통해 파일에 트로이목마를 작성하더라도 트로이목마가 위치한 파일 경로를 찾을 수 없어 공격을 이어갈 수 없다. DedeCMS 프로그램은 불합리하기 때문에 데이터 디렉토리의 이름을 바꾸는 작업이 상대적으로 클 것입니다. 구체적인 방법은 다음과 같습니다.

a 공개 콘텐츠를 rss, 사이트맵과 같은 pub 디렉토리(또는 기타 사용자 정의 디렉토리)로 마이그레이션합니다. , js, enum 등, 이 단계에서는 폴더를 이동하고 해당 파일의 생성 경로를 수정해야 합니다

b. 참조된 프로그램 디렉터리를 수정합니다

"DEDEDATA."/data/"를 "DEDEDATA"/로 검색하고 바꿉니다. ", 대략 50~60자리를 바꿔야 합니다. ;
"DEDEDATA.'/data/"를 검색하고 "DEDEDATA.'/"로 바꾸면 대략 50~60자리를 바꿉니다.
"/data/"를 검색합니다. 특정 상황에서는 "$DEDEDATA." /"와 유사하게 경로를 수정합니다(포함 디렉터리와 배경 관리 디렉터리 모두 데이터 폴더가 있으므로 수정할 필요가 없습니다).

c. 이름을 수정합니다. 데이터 폴더의 이름을 변경하고 include/common.inc.php 파일에서 "DEDEDATA" 값을 수정한 다음 백그라운드 시스템 설정 및 매개변수 설정에서 템플릿 캐시 디렉터리를 수정하면 됩니다.

2. "dede" 관리 디렉터리의 이름을 바꾸고 강화하세요

. 배경은 숨겨지므로 다른 사람이 귀하의 관리자 계정과 비밀번호를 알아도 로그인할 수 없습니다.

/dede/config.php에서 다음 줄을 찾으세요.

다음은 인용된 내용입니다:

//检验用户登录状态 
 $cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
     header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
}

추천 학습: dedecms 사용법 튜토리얼

위 내용은 DreamWeaver를 사용하여 구축한 웹 사이트는 악성 코드 해킹을 어떻게 방지할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.