一个老生常谈的问题,而且已经谈了9年多了,现在竟然还有大量的企业用织梦系统建站,归根结底,是客户根本不了解如今网站安全形势,也不懂得辨别建站公司的技术实力。
只要是有实力有专业的编程技术人员的建站公司,都不会选用织梦建站系统,为什么呢?
1.就是如题所谈到的安全问题。安全问题如果不重视,后期将带来大量的长期的灾难性后果。
2.就是织梦dedecms系统的后台确实体验度太低,对于普通用户来说,操作起来很麻烦,而且网站中的很多内容部分不能在后台进行修改调整。
上面阐述的目的就是告诉大家,如果能用其他更加安全的建站系统,就尽量不要去选择织梦cms建站系统了。
回归正题,织梦cms网站经常被攻击、被挂木马,频繁被黑、首页TDK内容被篡改、首页被跳转到其他网站、网页代码里面被挂黑链接、主机里被上传大量的成千上万的恶意网页,改怎么办?如何解决?如果防止后期不再被攻击呢?
回答:其实网上其他的解决方案也不能解决根本问题,解决根本问题的方法只有一个,那就是解决修补织梦cms系统的漏洞,但是这个方法又不适用,谁也不愿意用那么多的时间和金钱去处理这个问题,得不偿失,只能说客户给的钱不到位,呵呵!
临时性解决方案,按照如下12项指导方法进行全部处理:
1.修改数据库表前缀为其他,不要用默认的dede前缀,可以直接进phpmyadmin进行批量修改
2.删掉不需要的文件夹和文件,如install、special、member、m等文件夹,还有plus文件夹里用不上的php文件,尽量只保留以下文件即可:
ad_js.php、count.php、diy.php、freelist.php、list.php、view.php
3.后台登录地址改为更加复杂的,不要用默认的dede
4.删除后台管理目录下所有不需要的php文件,比如视频控制文件、小说功能文件、点卡管理功能文件、采集控制文件、纠错管理文件等,具体如下:
需要删除的文件请看:
删除:sys_sql_query.php
删除:member_xx_xxx.php
删除:以file_manage_xx .php开头的系列文件及tpl.php【文件管理器,安全隐患很大】
删除:soft_add.php、soft_config.php、soft_edit.php【软件下载类,存在安全隐患】
删除:mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.php【邮 件发送】
删除:media_add.php、media_edit.php、media_main.php【视频控制文件】
删除:以story_xxx.php开头的系列文件【小说功能】
删除:ad_add.php、ad_edit.php、ad_main.php【广告添加部分】
删除:cards_make.php、cards_manage.php、cards_type.php【点卡管理功能文件】
删除:以co_xx .php开通的文件【采集控制文件】
删除:erraddsave.php【纠错管理】
删除:feedback_edit.php、feedback_main.php【评论管理】
删除:以group_xx .php开头的系列php文件【圈子功能】
删除:plus_bshare.php【分享到管理】
删除:以shops_xx .php开头的系列文件【商城系统】
删除:spec_add.php、spec_edit.php【专题管理】
删除:以templets_xx .php开头的系列文件【模板管理】
删除:vote_add.php、vote_edit.php、vote_getcode.php【投票模块】
4.后台登录用户名改为更加复杂的
5.data文件夹转出或者改名
6.ftp密码和数据库密码改为更加复杂的
7.data/common.inc.php文件设置为只读或者644
8.后台设置会员的相关功能,改为全部禁用
9.用代码或者主机功能,设置指定目录禁止执行php、phtml、php3、php4、php5、jsp、dll、asp、cer、asa、shtml、shtm、aspx、asax、cgi、fcgi、pl等文件
10.禁止TRACE和OPTIONS方法的web服务器存在跨站脚本漏洞
11.添加代码防止一些常见的恶意URL匹配攻击
12.修复一些已知漏洞,如dedecms任意文件上传漏洞、dedecms变量覆盖漏洞、SQL注入漏洞等。
当然了,这些处理也不一定能防止所有黑客攻击,比如一些技术高超的黑客。
如果您实在对织梦建站系统不厌其烦了,可以选择我们,我们有多种
低价做网站套餐。本公司建站系统是基于phpcms做的二次个性化开发,系统和后台都做了长达3年的升级改造和简化,解决了安全和后台体验度问题,安全性均通过360安全检测和阿里云漏洞检测系统,暂无任何高危漏洞。3年以来已有5000多家企业客户使用本系统,没有遭受过以上的黑客攻击行为,可让您长期放心使用。
