当前位置：首页 > 范文大全 > 实用文>DEDEcms安全设置指南

DEDEcms安全设置指南

2022-07-12 08:22:46 收藏本文下载本文

“脾气怪好的”通过精心收集，向本站投稿了7篇DEDEcms安全设置指南，下面小编给大家整理后的DEDEcms安全设置指南，欢迎阅读与借鉴!

DEDEcms安全设置指南

篇1：DEDEcms安全设置指南

DEDECMS 这名词细想起来，我还是有一份特殊的感情的，当初做网站的时候，最早用的动易CMS，后来转PHP后，一直用的DEDECMS，只是现今不在用了而已，可以说，它造就了很多中小站长，是中小站长的福音，

下面就DEDECMS的安全设置，简单记录下。

1、尽量使用纯PHP的主机空间，如果非要使用WINDOWS，最好关闭非所有PHP支持；

2、更改默认的 www.2cto.com /dede/类管理地址；

3、给默认的admin管理帐号分配没有权限的用户组；

4、data/common.inc.php文件属性（Linux/Unix）设置为644或（Windows NT）设置为只读；

5、Linux主机针对uploads、data、templets 三个目录做执行php脚本限制；WINDOWS取消这三个目录的脚本运行权限；

6、及时关注官方补丁并及时打上补丁；

7、非必要，请关闭会员系统并删除member文件夹，实在要用一定要设置是否允许会员上传非图片附件设置为否对用户进行严格限制；

下面介绍下如何针对uploads、data、templets做PHP脚本限制：

对uploads、data、templets 三个目录做执行php脚本限制，就算被上传了木马文件到这些文件夹，也是无法运行的所以这一步很重要一定要设置，

在配置前需要确认你的空间是否支持.htaccess和rewrite，该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。

Apache环境规则内容如下：Apache执行php脚本限制把这些规则添加到.htaccess文件中

RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php)$ –[F]

nginx环境规则内容如下：

location ~ /(data|uploads|templets)/.*.(php|php5)?$ {

deny all;

}

DEDE官方针对安全也专门发表了一篇文章，大家可以去搜搜看看；

篇2：DedeCMS V5.3/V5.5/V5.7 安全设置指南

安全，一直是程序开发者及站长的一个不可忽视的问题，如何选择一个易用、安全的程序，如何搭建一个安全的服务器环境，一直?****愦笳境て惹邢M了解的，本篇结合服务器及DedeCMS来进行一个安全使用的环境配置，

1、目录权限

我们不建议用户把栏目目录设置在根目录，原因是这样进行安全设置会十分的麻烦，在默认的情况下，安装完成后，目录设置如下：

(1) data、templets、uploads、a或5.3的html目录，设置可读写，不可执行的权限；

(2) 不需要专题的，建议删除 special 目录，需要可以在生成HTML后，删除 special/index.php 然后把这目录设置为可读写，不可执行的权限；

(3) include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入（安装了附加模块的，book、ask、company、group 目录同样如此设置），

2、其它需注意问题

(1) 虽然对 install 目录已经进行了严格处理，但为了安全起见，我们依然建议把它删除；

(2) 不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，许可权限为：

SELECT, INSERT , UPDATE , DELETE

CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES

由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

3、如何设置目录的权限？

对于会用 Linux 的用户，相信大多数都已经懂得这些东西，IIS用户，请看下图：

(1) 设置目录为只读

复制权限

=700) window.open('img2.shangxueba.com/img/dnzg/0916/16/A82C59C1E1CD0A7D424F34745055B3FD.gif');“ src=”img2.shangxueba.com/img/dnzg/20140916/16/A82C59C1E1CD0A7D424F34745055B3FD.gif“ nload=”if(this.width>'700')this.width='700';“ border=”0“ alt=”“ />

设置为只读

=700) window.open('img2.shangxueba.com/img/dnzg/20140916/16/AB2AA3614DC4C10D27450DF6FF8045F6.gif');” src=“img2.shangxueba.com/img/dnzg/20140916/16/AB2AA3614DC4C10D27450DF6FF8045F6.gif” nload=“if(this.width>'700')this.width='700';” border=“0” alt=“” />

(2) 设置目录不允许执行

设置不允许执行脚本

=700) window.open('img2.shangxueba.com/img/dnzg/20140916/16/BB69E37141875101873796EFB402F5A0.gif');“ src=”img2.shangxueba.com/img/dnzg/20140916/16/BB69E37141875101873796EFB402F5A0.gif“ nload=”if(this.width>'700')this.width='700';“ border=”0“ alt=”“ />

此外还需要注意问题是，不管IIS还是Apache都不要把.php和.inc文件加入mime中，这样系统会禁止下载这些文件，

篇4：Linux下DedeCMS详细安全设置教程

经常会听到使用dedecms的站长抱怨，网站又被挂马了，dedecms真的很不安全，dedecms可能存在某些漏洞这不假，但主要责任真的是dedecms吗？我们知道，一个想上传木马，首先得可以找到可写的目录，当然如果被获取root密码和提权，那就没办法了。上传木马之后，又必须是php程序能解析。知道了这两个条件，我们就可以根据这两方面设置权限了。所以说，网站被挂马，主要问题还在于你安全设置方面做得不够好。

下面我们详细的介绍Linux下DedeCMS程序安全的设置。

目录权限设置

web服务器运行的用户与目录所有者用户必须不一样，比如apache运行的用户为www，那么网站目录设置的所有者就应该不能设置为www，而是设置不同于www的用户，如centos。

我们这里假设web服务器以www用户运行，网站分配的用户为centos，dedecms网站根目录为/home/centos/web。

不建议用户把栏目目录设置在根目录，原因是这样进行安全设置会十分的麻烦，在默认的情况下，安装完成后，目录设置如下：

1、首先设置网站目录所有者为centos，用户组为www，目录设置为750，文件为640。

cd /home/centos

chown -R centos.www web

find web -type d -exec chmod 750 {} ;

find web -not -type d -exec chmod 640 {} ;

2、data、templets、uploads、a images目录，设置可读写，不可执行的权限；

设置可读写权限：

cd /home/centos/web

chmod -R 770 data templets uploads a images

设置不可执行权限：

apache的设置，在apache配置文件中加入如下代码（以data目录为例，其它设置基本相同）。

php_flag engine of

Order allow,deny

Deny from all

nginx的设置如下：

{

deny all;

}

3、不需要专题的，建议删除 special 目录，需要可以在生成HTML后，删除 special/index.php 然后把这目录设置为可读写，不可执行的权限，上面介绍了如何设置可读写和不可执行的权限，这里就不重复了，

其它需注意问题

1、虽然对 install 目录已经进行了严格处理，但为了安全起见，我们依然建议把它删除；

2、不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，许可权限为：

SELECT, INSERT , UPDATE, DELETE,CREATE , DROP , INDEX, ALTER , CREATE TEMPORARY TABLES

由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

假设我们建立的数据库名为centosmysql，数据库用户为centosmysql，密码为123456，具体设置命令如下：

mysql -uroot -p

mysql>GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATE TEMPORARY TABLES ON centossql.* TO centossql@localhost IDENTIFIED BY 123456;

mysql>FLUSH PRIVILEGES;

mysql>exit

3、更改默认管理目录dede，改到不易被猜到就好。

4、关注后台更新通知，检查是否打上最新dedeCMS补丁。

篇5：DedeCMS 安全设置禁止PHP执行权限WEB安全

使用.htaccess禁止php执行

RewriteEngineonRewriteCond%!^$RewriteRuleuploads/(.*).(php)$–[F]RewriteRuledata/(.*).(php)$–[F]RewriteRuletemplets/(.*).(php)$–[F]RewriteRulezkzy/(.*).(php)$–[F]RewriteRulezktk/(.*).(php)$–[F]RewriteRulexxff/(.*).(php)$–[F]RewriteRulexlogo/(.*).(php)$–[F]RewriteRulestyle/(.*).(php)$–[F]RewriteRulenews/(.*).(php)$–[F]RewriteRuleimgcss/(.*).(php)$–[F]RewriteRuleimages/(.*).(php)$–[F]RewriteRuledyimg/(.*).(php)$–[F]RewriteRulebkbd/(.*).(php)$–[F]RewriteRulea/(.*).(php)$–[F]RewriteRuleinclude/(.*).(php)$–[F]RewriteRuledede/(.*).(php)$–[F]