DEDECMS的一些安全问题

最近忙于谷百优大赛,搞得我都很少写文章了,不过因为某些事情最近频繁使用dedecms,慢慢的由不熟悉变得比较熟悉了,期间也因为自己的疏忽被 人入侵挂马了(那个站的词是一个暴利站竞争强所以导致不少恶性竞争),所以又一些经验可以分享一下。我的谷百优参赛站是谷百优大米有兴趣赞助几个友情链接 的可以联系我。呵呵,下面正式进入我们的正题!

  首先在这里先要鄙视一下那些所谓的黑客,基本上都是一群只会拾人牙慧的垃圾,高手发布了一些教程漏洞,然后找几个软件按图索骥黑了几个网站就把 自己封为xx黑客,还要给自己弄一个好像很牛叉却很非主流的代号,然后就不可一世了。什么叫做黑客,那些脚本小子会编程么?有自我探索能力么?能静下心来 分析问题么?有万千依靠自己发现漏洞么?

  其他的不想说太多,只是为网络上存在这群人感到可悲。我不是高手,我也是菜鸟,对网络安全也懂得不多,这里只发一些我所认为的一些安全措施,太深奥的我也不会,所以这个教程应该对菜鸟朋友比较实用。

  DedeCMS是一款比较常用的CMS,这里我们以这个作为例子简单介绍一些增强网站安全性的措施。

  第一、安装过程中,数据库表明前缀如果没有特殊必要,最好更改一下,比如dedecms的前缀是dede_,那么你可以修改为xsd_一些其他的名称;

  第二、安装过程中的用户名不要使用默认的admin、root、administration等一些常用的名称,换一个吧;

  第三、管理员密码:不要为了省心用自己的名字或者QQ号码之类的,那些无聊的黑客喜欢“社会工程学”在那里瞎猜,说不定还真被人捡到死耗子了; 我的一个网友胖子告诉我一个可以进入的DEDECMS站,PR3,管理员账号既然是admin,更可笑的是密码就是123456,密码最好字母数字混合, 大小写字母都有,8位以上,加上一些符号更好了。

  第四、管理后台目录名称,dedecms的登录后台是根目录下的DEDE目录,我用过一些阿D工具包之类的黑客软件,那些软件都是收录一些数据 去猜测你的管理后台的,换一个吧,而其最好换一个迷惑一点的,比如dedecms目录下还有一些比如member之类的目录,你可以把dede修改为 members目录之类的名称。

  第五、其他目录的处理,install删掉或者改为其他名称,还有其他目录由于服务器安全性不够高的缘故会导致爆出目录,例如输 入:http://www.xxxx.com/templets(xxx是你的域名)会曝出入下图,对于这样的问题只要在这样的目录加一个 index.html的文件即可解决。

转载自www.gubaiyoudm.com 

你可能感兴趣的:(编程,cms,qq,脚本)