怎麼修改DEDECMS防止網站掛馬

怎麼修改DEDECMS防止網站掛馬？

簡單修改DEDECMS防止網站掛馬

網站安全性都是伺服器設定、檔案權限控制和網站程式三者的相互配合，如果要對DedeCms網站程式的修改來提高安全性。 "可執行的檔案不允許被修改，可寫檔案不允許被存取"這是網站權限控制的根本原則，網站程式在"可寫檔案不允許被存取"方面可做許多工作。我們可以在以下幾個方式做好保護：

推薦學習：dedecms教學

1、改名根目錄下的data目錄，或是移動到網站目錄外面

data目錄便是最藏污納垢的地方，系統經常要往這個目錄寫數據，這個目錄下的任何一個文件又都可以透過URL存取到，所以要讓瀏覽器存取不到裡面的文件，就需要將此目錄改名，或是移動到網站的目錄外面去。這些，即使別人透過漏洞往文件裡寫進了一句話木馬，他也找不到此木馬所在的檔案路徑，無法繼續展開攻擊。因為DedeCMS程式的不合理，導致改名data目錄動作會比較大，具體做法如下：

a.將公開的內容遷移到pub目錄（或其它自訂目錄）下，如rss、sitemap、 js、enum等，此步驟需要移動資料夾，並修改這些檔案的生成路徑

b.修改引用程式目錄

c.修改data資料夾名稱，並修改include/common .inc.php檔案裡的"DEDEDATA"的值，再在後台系統設定》參數設定裡修改範本快取目錄，即可修改完成。以後也可以按照此步驟來更改data資料夾名稱。

2、改名"dede"管理目錄，並加固

如果把後台隱藏好了，即使別人獲得了你的管理員帳號、密碼，他也無從登入。

a.在/dede/config.php裡，找到如下行：

//检验用户登录状态 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
}

把上面程式碼，改為：

//检验用户登录状态 
$cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
//header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
header("HTTP/1.0 404 Not Found"); 
exit(); 
}

b.修改/dede/login. php的檔案名稱，並對應的修改/dede/templets/login.htm裡的表單提交位址；

c.修改/dede/的目錄名稱；

這樣，別人在沒有登入前，只能存取/dede/login.php改名後的位址，存取其他位址均會獲得404錯誤。

當然，做了安全加固後，以後DedeCMS的升級就會有一些麻煩。  

以上是怎麼修改DEDECMS防止網站掛馬的詳細內容。更多資訊請關注PHP中文網其他相關文章！