您好,欢迎您访问【织梦云】专业织梦模板建站平台 QQ客服
织梦云-dedecms织梦模板|网站源码下载站
当前位置 : 当前位置 :织梦模板 > 织梦教程 > 织梦安全 > 谈谈网站安全性的问题

谈谈网站安全性的问题

  刚入职没多长时间网站一直有人上传木马基本网站一直处在被人攻击的状态纠结阿一直忙着解决这问题了今天好不容易有些成就就拿出来和大家分享一下如果大家有什么好的方法可以教教我这两天为了这事儿头疼死了

  网站现在大体的情况是dede+smarty开发的博客系统+dz百度和谷歌的权重都在左右所以访问量还是比较大的

  dede公认的漏洞比较多而且接手的这个dede还二次开发过所以短时间内找漏洞是不太可能了如果有朋友之类的话可以让他们一起检测毕竟一个人太麻烦了或者加我QQ

  网站目录安全性

  >所有的目录可以设置权限css和images文件css可以设置读写权限不给执行权限css经常改的话给写权限图片文件只给读的权限就可以了去掉所有不用经常改的PHP文件写入权限不给任何攻击者将代码写入php中的机会

  >经常扫描是否有特殊后缀或者新被上传的文件看源码尤其是inc后缀的

  网站安全检测    

  >网站安全检测这个还是比较好使的不过有没有其他的想法就不知道了哈哈检测完了有修复的提示

  >自己写一个检测网站木马文件的脚本网上也有他本身就是木马找一个没有后门之类的上传上去自己检测这个还是非常不错的看清楚源码以后删除木马文件

  >使用DOMAIN之类的上传注入软件自己测试一下网站

  修改服务器配置增加安全性

  >在apache配置文件中禁止一些目录执行php文件的权限比如uploads/html/等下面是一个例子:

  <Directory /usr/local/apache/htdocs/uploads> <Files ~ php> Order allowdeny Deny from all </Files> </Directory>

  >有些不希望别人访问的目录也直接禁止掉

  >修改phpini的disable_functions添加禁止的函数

  systemexecshell_execpassthruproc_openproc_close proc_get_statuscheckdnsrrgetmxrrgetservbynamegetservbyport syslogpopenshow_sourcehighlight_filedlsocket_listensocket_createsocket_bindsocket_accept socket_connect stream_socket_server stream_socket_acceptstream_socket_clientftp_connect ftp_loginftp_pasvftp_getsys_getloadavgdisk_total_space disk_free_spaceposix_ctermidposix_get_last_errorposix_getcwd posix_getegidposix_geteuidposix_getgid posix_getgrgidposix_getgrnamposix_getgroupsposix_getloginposix_getpgidposix_getpgrpposix_getpid posix_getppidposix_getpwnamposix_getpwuid posix_getrlimit posix_getsidposix_getuidposix_isatty posix_killposix_mkfifoposix_setegidposix_seteuidposix_setgid posix_setpgidposix_setsidposix_setuidposix_strerrorposix_timesposix_ttynameposix_uname

  其他方式

  打补丁尤其是坑爹的dede

  经常修改服务器的帐号密码ftp帐号密码最好用sftp

  最好把dede后台的文件管理器关闭还有dede数据库备份还原以及文章里的图片上传之类的全部做过滤禁止上传其他格式尤其是php格式的文件

  对linux服务器不是特别懂所以就先不说这个了以后学成了再和大家讨论

热门标签

最新模板推荐

二维码
意见反馈
×