DEDECMS安全设置指南

楼主^#

更多发布于：2012-01-30 23:31

[] 1


	DEDECMS 这名词细想起来，我还是有一份特殊的感情的，当初做网站的时候，最早用的动易CMS2006，后来转PHP后，一直用的DEDECMS，只是现今不在用了而已，可以说，它造就了很多中小站长，是中小站长的福音。下面就DEDECMS的安全设置，简单记录下。 1、尽量使用纯PHP的主机空间，如果非要使用WINDOWS，最好关闭非所有PHP支持； 2、更改默认的 www.atcpu.com /dede/类管理地址； 3、给默认的admin管理帐号分配没有权限的用户组； 4、data/common.inc.php文件属性（Linux/Unix）设置为644或（Windows NT）设置为只读； 5、Linux主机针对uploads、data、templets 三个目录做执行php脚本限制；WINDOWS取消这三个目录的脚本运行权限； 6、及时关注官方补丁并及时打上补丁； 7、非必要，请关闭会员系统并删除member文件夹，实在要用一定要设置是否允许会员上传非图片附件设置为否对用户进行严格限制；下面介绍下如何针对uploads、data、templets做PHP脚本限制：对uploads、data、templets 三个目录做执行php脚本限制，就算被上传了木马文件到这些文件夹，也是无法运行的所以这一步很重要一定要设置。在配置前需要确认你的空间是否支持.htaccess和rewrite，该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。 Apache环境规则内容如下：Apache执行php脚本限制把这些规则添加到.htaccess文件中 RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.).(php)$ – [F] RewriteRule data/(.).(php)$ – [F] RewriteRule templets/(.).(php)$ –[F] nginx环境规则内容如下： location ~ /(data\|uploads\|templets)/..(php\|php5)?$ { deny all; } DEDE官方针对安全也专门发表了一篇文章，大家可以去搜搜看看；