>CMS 튜토리얼 >Dedecms >DedeCms의 보안 문제를 최적화하는 방법

DedeCms의 보안 문제를 최적화하는 방법

藏色散人
藏色散人원래의
2019-12-09 09:40:002150검색

DedeCms의 보안 문제를 최적화하는 방법

DedeCms의 보안 문제를 최적화하는 방법은 무엇입니까?

드림위버 CMS 프로그램을 사용하다 보면 많은 초보 사용자들이 필연적으로 악성코드 중독 현상을 접하게 되므로, 웹사이트와 서버의 보안을 위해 사전에 예방적 백업을 해야 합니다.

추천 학습: DreamWeaver cms

DreamWeaver는 중국 최대의 오픈 소스 무료 CMS 프로그램으로 의심할 여지 없이 많은 HACK 연구의 대상입니다. 본질적으로 안전하지 않은 인터넷 환경에서는 DEDE 관계자가 속이기 쉽습니다. 또한 우리는 오래 전에 이 시스템 업그레이드를 중단했습니다. 보안은 프로그램 자체에 관한 것뿐만 아니라 매일 백업하고 서버 보안 예방 조치를 취해야 합니다.

자, 일반적으로 사용되는 솔루션은 다음과 같습니다.

1단계: Dreamweaver CMS를 설치한 후 설치 폴더를 삭제하는 것을 잊지 마세요.

2단계: 백그라운드 로그인 시 인증코드 기능을 활성화(또는 직접 보안 메커니즘 작성)하고 기본 관리자 관리자를 삭제한 후 보다 복잡한 전용 계정으로 변경해야 합니다. 길어야 하고 최소 8비트여야 하며 문자와 숫자가 혼합되어 있어야 합니다.

3단계: Dedecms 백그라운드 관리를 위한 기본 디렉터리 이름 dede를 변경하고, 추측하기 어렵고 불규칙한 이름으로 변경합니다(가끔 변경).

4단계: 회원, 댓글 등 사용하지 않는 기능을 모두 끄기(또는 제거/삭제). 필요하지 않은 경우 백그라운드에서 모두 끄세요.

회원 기능 꺼짐: 백엔드--시스템--기본 시스템 매개변수--회원 설정--멤버십 기능 활성화 여부(예)

회원 인증 코드 켜짐: 백엔드--시스템--기본 시스템 매개변수--인터랙티브 설정-- 회원 제출에 인증 코드를 사용할지 여부(yes)

회원 인증 코드가 켜져 있습니다: 백엔드--시스템--기본 시스템 매개변수--상호작용 설정--모든 댓글 금지 여부( 예)

5단계: (1) 다음은 삭제할 수 있는 디렉토리/기능입니다(사용하지 않는 경우):

회원 멤버십 기능 [회원 디렉토리, 일반 기업 사이트에는 필요하지 않음]

특별 스페셜 function [특수 기능]

tags.php 태그

a 폴더

(2) 관리 디렉터리에 있는 다음 파일은 삭제할 수 있습니다.

관리 디렉터리에 있는 이러한 파일은 중복 기능인 백그라운드 파일 관리자이며 대부분 이를 통해 많은 HACK이 마운트됩니다.

dede /file_manage_control.php [이메일로 보내기]

dede/file_manage_main.php [이메일로 보내기]

dede/file_manage_view.php [이메일로 보내기]

dede/media_add .php [동영상 제어 파일]

dede/media_edit.php [ 동영상 제어 파일】

dede/media_main.php【동영상 제어 파일】

dede/spec_add.php, spec_edit.php【주제 관리】

dede/ file_xx.php .php 및 tpl.php로 시작하는 일련의 파일 【파일 관리자, 보안 위험이 엄청납니다]

(3)plus 삭제할 수 있는 파일은 다음과 같습니다.

삭제: plus/guestbook 폴더 [메시지 나중에 더 적합한 방명록 플러그인을 설치할 예정입니다.]

삭제: plus/task 폴더 및 task.php [예약된 작업 제어 파일]

삭제: plus/ad_js.php [광고]

삭제: plus /bookfeedback.php 및 bookfeedback_js.php [도서 리뷰 및 리뷰 호출 파일, 인젝션 취약점 있음, 안전 없음】

삭제: plus/bshare.php【플러그인에 공유】

삭제: plus/car.php , posttocar.php 및 carbuyaction.php【장바구니】

삭제: plus/comments_frame.php【댓글 호출, 보안 취약점 있음]

삭제: plus/digg_ajax.php 및 digg_frame.php【좋아요】

삭제: plus/download.php 및 disdls.php【다운로드 및 시간 통계】

삭제: plus/erraddsave.php【수정】

삭제: plus/feedback.php, Feedback_ajax.php, Feedback_js.php【댓글】

삭제 : plus/guestbook.php【메시지】

삭제: plus/stow.php【콘텐츠 수집】

삭제: plus/vote.php【vote】

추가: dede/sys_sql_query.php 파일을 삭제하지 않으면 삭제하세요. SQL 명령 실행기가 필요합니다.

6단계: Dedecms에서 공식적으로 발표하는 보안 패치에 더 주의를 기울이고 제때에 적용하세요.

7단계: 게시 기능을 다운로드합니다(관리 디렉터리 아래의soft__xxx_xxx.php). 사용하지 않으면 삭제할 수 있습니다. 이것은 Xiaoma에 업로드하는 것도 더 쉽습니다.

3단계: 다운로드할 수 있습니다. Baidu Security Alliance에서 제작한 360 "DreamWeaver CMS Security Package" 및 "DedeCMS Stubborn Trojan Backdoor Killer"와 같은 파티 보호 플러그인

9단계: (선택 사항) 가장 안전한 방법: HTML을 로컬로 게시한 후 업로드 그것을 공간으로. 동적 콘텐츠 파일이 포함되어 있지 않으며 이론적으로 가장 안전하지만 유지 관리가 상대적으로 번거롭습니다.

보충사항: 아직도 웹사이트를 자주 확인해야 합니다. 블랙링크로 연결되는 것은 사소한 일이지만, 트로이 목마로 연결되거나 프로그램을 삭제하는 것은 매우 비참한 일입니다. 따라서 수시로 데이터를 백업하는 것을 잊지 마십시오! ! !

추가 자료: Dreamweaver 웹사이트의 데이터 백업 단계 그림

지금까지 우리가 발견한 악성 스크립트 파일은

plus/90sec.php
plus/ac.php 
plus/config_s.php 
plus/config_bak.php 
plus/diy.php 
plus/ii.php 
plus/lndex.php 
data/cache/t.php 
data/cache/x.php 
data/config.php 
data/cache/config_user.php 
data/config_func.php

업로드된 스크립트의 대부분은 plus, data, data/cache 세 디렉터리에 집중되어 있습니다. WIN 시리즈 서버인 경우 서버 측 세 디렉터리에 최근 업로드된 파일이 있는지 주의 깊게 확인하세요. 보안견 등을 설치할 수 있습니다. 관련 보호 도구

위 내용은 DedeCms의 보안 문제를 최적화하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.