万众海浪论坛  
温馨提示今天是:

当网络繁忙时请选择:https://bbs.838778.com(线路一)https://bbs.939138.com(线路二)进入本站论坛。


 
标题: 织梦DedeCMS V5.3/V5.5/V5.7 安全设置指南
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-19 23:53  资料  个人空间  短消息  加为好友 
织梦DedeCMS V5.3/V5.5/V5.7 安全设置指南

安全,一直是程序开发者及站长的一个不可忽视的问题,如何选择一个易用、安全的程序,如何搭建一个安全的服务器环境,一直是广大站长迫切希望了解的,本篇结合服务器及DedeCMS来进行一个安全使用的环境配置。

1、目录权限
万众海浪论坛不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:
(1) data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。

2、其它需注意问题
(1) 虽然对 install 目录已经进行了严格处理, 但为了安全起见,万众海浪论坛依然建议把它删除;
(2) 不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

3、如何设置目录的权限?
对于会用 Linux 的用户,相信大多数都已经懂得这些东西,IIS用户,请看下图:
(1) 设置目录为只读
复制权限
描述:复制权限
图片:a11.gif





设置为只读
描述:设置为只读
图片:a12.gif



  

(2) 设置目录不允许执行
描述:设置不允许执行脚本
图片:a2.gif





此外还需要注意问题是,不管IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。

附:
1.Apache站点安全设置
如果是Windows2003下,可以对Apache进行如下操作:
    1.1.在计算机管理里的本地用户和组里面创建一个帐户,例如:DedeApache,密码设置为 DedeApachePWD,加入guests组(如果出现问题,可以赋予user权限);

    1.2.打开开始->管理工具->本地安全策略,在“用户权限分配”中选择“作为服务登陆”,添加DedeApache用户;

    1.3.计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找 选择DedeApache,输入密码DedeApachePWD,然后点确定(这个时候apache还不能正常启动,一般情况肯定会报错:Apache2.2 服务因 1 (0x1) 服务性错误而停止。);

图片:apache.gif





    1.4.赋予apache安装目录(比如:D:/apache2.2)以及web目录(比 如D:/wwwroot)DedeApache帐号的可读写权限,去除 各磁盘根目录除administror与system以外的所有权限,赋予DedeApache安装 目录所在的磁盘根目录apache帐户的可读取列目录权限

图片:apache_iss.gif





万众海浪论坛在站点配置中可以添加如下内容:
复制代码
  •     <Directory "D:\dedecms\www\uploads">
  •         <FilesMatch ".php">
  •             Order Allow,Deny
  •             Deny from all
  •         </FilesMatch>
  •     </Directory>
  •     <Directory "D:\dedecms\www\data">
  •         <FilesMatch ".php">
  •             Order Allow,Deny
  •             Deny from all
  •         </FilesMatch>
  •     </Directory>
  •     <Directory "D:\dedecms\www\templets">
  •         <FilesMatch ".php">
  •             Order Allow,Deny
  •             Deny from all
  •         </FilesMatch>
  •     </Directory>
  •     <Directory "D:\dedecms\www\a">
  •         <FilesMatch ".php">
  •             Order Allow,Deny
  •             Deny from all
  •         </FilesMatch>
  •     </Directory>


这里对应就取消了对应目录的脚本执行权限。

2.data目录路径更改
另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:
2.1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;
2.2.配置include/common.inc.php中DEDEDATA文件
复制代码
  • define('DEDEDATA', DEDEROOT.'/data');


可以改成类如:
复制代码
  • define('DEDEDATA', DEDEROOT.'/../../data');


2.2.3.后台设置模板缓存路径

图片:2011-04-28_101544.gif











织梦官方团队


http://bbs.dedecms.com/172474.html






请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 00:00  资料  个人空间  短消息  加为好友 
织梦dedecms安全设置,防止挂马教程

dedecms织梦安全设置(一)
这段时间有许朋友的dede后台程序被挂马,当然每个人都是通过一点一点积累经验,从被挂到能轻松防范,这需要一个逐渐积累的过程,任何事情都不是一蹴而就的,所以万众海浪论坛只要研究了对的方法就避免被挂马。 下面就来谈一谈具体的设置方法:
精简设置篇:
不需要的功能统统一律删除。比如不需要会员就将member文件夹删除。删除多余组件是避免被hack注射的最佳办法。将每个目录添加空的index.html,防止目录被访问。
织梦可删除目录列表:member会员功能 special专题功能 install安装程序(必删) company企业模块 plus\guestbook留言板 以及其他模块一般用不上的都可以不安装或删除。
密码设置要复杂:
管理员密码一定要长,而且字母与数字混合,尽量不要用admin,初次安装完成后将admin删除,新建个管理员名字不要太简单。织梦系统数据库存储的密码是MD5的,一般HACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。也是无奈。但现在的MD5破解网站太过先进,4T的硬盘全是MD5密码,即便你的密码很复杂有时候都能被蒙上。我之前的站点就是这么被黑的。所以一定密码够复杂。
织梦可删除文件列表:
DEDE管理目录下的 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除) 。
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
修改配置:
为了防止HACK利用发布文档,上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。附带老大的简单方法。(在5.0以上的版本本身已经作好修改了,这点经测试比较过的)
打开
include/config_base.php
找到
Copy code//禁止用户提交某些特殊变量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
   foreach($$ckv AS $key => $value)
     if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
}
}
改为下面代码
Copy code//把get、post、cookie里的<? 替换成
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
   foreach($$ckv AS $key => $value)
     if(!empty($value)){
       ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);<>
       ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
     }
     if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
//检测上传的文件中是否有PHP代码,有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},'r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!='' && ereg("<\?",$fstr)){<>
     echo "你上传的文件中含有危险内容,程序终止处理!";
     exit();
}
}
}
虚拟主机注意篇:
有些人使用的空间,请把空间的CP与FTP密码妥善保存。并且密码一定要复杂。如果自己的服务器就要靠自己了。
目录重命名:
管理目录DEDE务必重命名,而且要像密码一样复杂才最好。
补丁升级:
经常来织梦官方看看,有没有新的安全补丁。有的务必都打上。
做到以上的安全设置方面的修改,万众海浪论坛就不用为DEDE被挂马而担忧了,当然没有万之策,但此方法可以杜绝大多数入侵情况的的发生

http://www.xuejiqiao.com/jiaocheng/201356.html






请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 00:19  资料  个人空间  短消息  加为好友 
织梦安全设置防挂马教程

织梦安全设置防挂马教程:
http://wenku.baidu.com/view/7c5a29f94693daef5ef73dfe.html
http://wenku.baidu.com/view/f03794edf705cc17552709fd.html

织梦安全设置防止挂马:
http://jingyan.baidu.com/article/ce09321b23f57c2bff858f8e.html

织梦Dede5.7SP1程序安全设置避免99%网站被挂马防黑综合教程:
http://www.hep6.com/html/ljzm/27545.html

DEDE织梦5.7自动采集伪原创模块下载附安装声名
http://www.hep6.com/html/ljzm/20202.html

织梦论坛:
http://bbs.dedecms.com/






请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 01:27  资料  个人空间  短消息  加为好友 
织梦采集侠

织梦采集侠:http://www.caijixia.net/






请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 01:28  资料  个人空间  短消息  加为好友 
织梦(Dedecms)管理员之家

织梦(Dedecms)管理员之家
织梦帮助教程,Dedecms帮助教程,织梦教程:
http://www.dedeadmin.com/






请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 01:34  资料  个人空间  短消息  加为好友 
SDcms 采集教程

因为 SDCMS 官方没有给出 采集的教程,今天写一篇 关于 SDCMS 的采集教程。

首先介绍一下SDCMS,SDCMS 是一款轻量级的 asp+acc 的cms 系统 比较灵活 使用比较方便。

好了下面开始 介绍 采集了:

第一步:新建一个采集

如图:


然后会出现一个 添加项目的 表格:万众海浪论坛先看看这个表格:


项目名称:万众海浪论坛自己命名就行了

分类:必填

专题:随便

编码:要看万众海浪论坛的采集对象

远程URL:必填 (意思是 采集一个列表页的所有文章)填写列表的地址:

高级属性自己研究其实比较简单 比如采集 关键词替换等。这里就不多说了。



第二步:填写这个表;


注意 远程url 要写完整 啊 ,编码是  要采集网址的编码 我这个是 gb2312 的

为了方便大家测试 贴出网址来 http://www.qd41.com/Newslist.asp?owen1=经验交流&owen2=&page=3



第三步:设置采集管理的第二步

先上图:


小步1,列表开始代码

列表开始代码的意思就是要采集这个列表页面 的源代码(在效果预览中找或者自己查看源文件)当中 找出一段能够 标记这个列表开始的代码

同理 列表结束代码:

上图说明:


小步2:连接开始代码与连接结束代码:

基本采集失败的基本在此处:


连接开始代码与连接结束代码是需要从 标记出列表 开始 与结尾 的 中间找。

万众海浪论坛要采集的 是 <a href="要采集的内容"></a>

根据情况 分析:

<a href=" 是开头

target="_blank"> 是结尾



第四步:采集步骤的第三步


第五步:测试采集


注意:

1、要填写的 代码部分最好 直接复制 源代码 不要手写。

2、仔细找标记。

好的 教程到此结束!

http://blog.sina.com.cn/s/blog_71270d250100qxb0.html






请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 02:00  资料  个人空间  短消息  加为好友 
SDCMS非官网







请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 02:27  资料  个人空间  短消息  加为好友 
织梦DedeCMS如何取消服务器/主机空间目录脚本的执行权限

织梦DedeCMS如何取消服务器/主机空间目录脚本的执行权限
http://help.dedecms.com/install-use/server/2011/1109/2124.html

如何将系统的data目录迁移到web以外目录
http://help.dedecms.com/install-use/apply/2011/1110/2129.html


织梦CMS帮助中心
http://help.dedecms.com/






请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
朗文
管理员
Rank: 12Rank: 12Rank: 12


UID 8
精华 6
积分 46771
帖子 2550
威望 46771 点
金钱 70591 RMB
阅读权限 200
注册 2005-11-5
状态 离线
 
发表于 2014-10-20 05:13  资料  个人空间  短消息  加为好友 
如何正确将织梦DeDeCMS系统的data目录迁移到web以外目录

在dedecms中,data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个目录可执行的权限,更是非常危险,所以万众海浪论坛建议将这个data目录搬移出Web可访问目录之外。本篇将介绍如何将data目录搬移出Web访问目录。

  

 1,进入系统后台,在配置中修改tplcache目录为你想对目录。

 

,2.将data目录转移到非Web目录

  万众海浪论坛这里举例“D:\dedecms\v57”为万众海浪论坛系统的根目录,万众海浪论坛需要将目录下的data文件夹(如图1)迁移要上一级目录(非Web目录),简单的办法直接剪切或者拷贝即可。

  万众海浪论坛移动上一级目录中,注意观察文件路径。

3.修改DEDEDATA目录的配置常量

  找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。

4.配置tplcache缓存文件目录

5,打开网站根目录的index.php,/data/改成/../data/

 

  好了,这样万众海浪论坛就将data目录顺利迁移出去了。

  本操作目前仅在V57系统中测试有效,其他版本系统可能需要进行调整。







请收藏万众海浪网永久域名:①www.838668.comwww.939138.com  业务联系: 朗文 1836688338
顶部
尔艾新
新手上路
Rank: 1


UID 174024
精华 0
积分 11
帖子 2
威望 11 点
金钱 50 RMB
阅读权限 10
注册 2014-10-28
状态 离线
 
发表于 2014-10-30 00:24  资料  个人空间  短消息  加为好友  QQ
北京哪里有找 开奖直播 上门 开奖直播 服务 信息 电话亚视在线-1098-1728,提供开奖直播,开奖直播,本港台直播妹,本港台直播,洋妞(欧美日韩女孩)五环内↓

顶部
 

 

本站永久域名①:www.838668.com (点击加入您的收藏夹)

当前时区 GMT+8, 现在时间是 2024-11-22 01:57

     Powered by Discuz! 5.5.0  © 2001-2007, Skin by Cool
Clear Cookies - Contactus - 万众海浪论坛 - Archiver - wap