dedecms织梦网站安全防护设置

服务器–网站目录需要给users用户写入权限,不然网站发不了文章和修改网站权限【注意】
已经确认,iis8网站文件权限设置只需要修改users用户权限就可以
a data tlemp uplods html 可写入 取消脚本执行权限

目录权限设置:data、templets、uploads、a目录,设置可读写,不可执行的权限。
include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装附加模块的 book、ask、company、group 目录同样如此设置)【重点-users权限】

1.下载最新的织梦版本dede.v5.7.sp2,安装的时候admin改掉,密码超过10位,后台登录开启验证码功能。
2.安装的时候数据库不要用root新建账户,dede_表前缀改掉,数据库名改复杂点
3.后台dede目录改掉/tp_adminx(IIS设置admin后台限制IP访问)
5.装好DEDE后及时把install文件夹删除。(必删)

4.如网站不需要使用会员,建议删除 member会员功能
7.如果网站不需要专题的,建议删除 special专题功能
7.如果网站不需要企业的,建议删除 company企业模块
7.如果网站不需要留言的,建议删除 plus\guestbook留言板

6.删掉系统版本信息 /data/admin/ver.txt

8.不建议用户把栏目目录设置在根目录, 这样进行安全设置会十分的麻烦,放在a目录下面。
9.将每个目录添加空的index.html,防止目录被访问;
10.做好网站301页面、403页面、404页面可以禁止访问某页或某文件。
11.官网出的万能安全防护代码
12.IIS设置admin后台限制IP访问

 

目录权限设置:data、templets、uploads、a目录,设置可读写,不可执行的权限。
include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装附加模块的 book、ask、company、group 目录同样如此设置)

10.将data目录转移到非Web目录(设置可读写,不可执行的权限)(此步骤操作有难度)

(数据库操作) :不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
徐闹闹 » dedecms织梦网站安全防护设置

提供最优质的资源集合

立即查看 了解详情