您现在的位置是:首页 > cms教程 > DedeCMS教程DedeCMS教程
DedeCMSV5.3/V5.5/V5.7安全设置教程
依珊2023-09-23DedeCMS教程已有人查阅
导读我们不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:
1、目录权限
我们不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:
(1) data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
2、其它需注意问题
(1) 虽然对 install 目录已经进行了严格处理, 但为了安全起见,我们依然建议把它删除;
(2) 不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于Dede并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
3、如何设置目录的权限?
对于会用 Linux 的用户,相信大多数都已经懂得这些东西,IIS用户,请看下图:
(1) 设置目录为只读
复制权限
图-1:复制权限
设置为只读
图-2:设置为只读
(2)设置不允许执行脚本
设置不允许执行脚本
图-3:设置不允许执行脚本
此外还需要注意问题是,不管IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。
不过仅进行上面的设置还是不行,服务器安全设置更重要,如果经常被挂马可以找我们解决,杜绝挂马,服务器相关软件下载地址s.jb51.net
附:
1.Apache站点安全设置
如果是Windows2003下,可以对Apache进行如下操作:
1.1.在计算机管理里的本地用户和组里面创建一个帐户,例如:DedeApache,密码设置为 DedeApachePWD,加入guests组(如果出现问题,可以赋予user权限);
1.2.打开开始->管理工具->本地安全策略,在“用户权限分配”中选择“作为服务登陆”,添加DedeApache用户;
1.3.计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找 选择DedeApache,输入密码DedeApachePWD,然后点确定(这个时候apache还不能正常启动,一般情况肯定会报错:Apache2.2 服务因 1 (0x1) 服务性错误而停止。);
1.4.赋予apache安装目录(比如:D:/apache2.2)以及web目录(比 如D:/wwwroot)DedeApache帐号的可读写权限,去除 各磁盘根目录除administror与system以外的所有权限,赋予DedeApache安装 目录所在的磁盘根目录apache帐户的可读取列目录权限
我们在站点配置中可以添加如下内容:
代码如下:
2.data目录路径更改
另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:
2.1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;
2.2.配置include/common.inc.php中DEDEDATA文件
代码如下:
代码如下:
我们不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:
(1) data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
2、其它需注意问题
(1) 虽然对 install 目录已经进行了严格处理, 但为了安全起见,我们依然建议把它删除;
(2) 不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于Dede并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
3、如何设置目录的权限?
对于会用 Linux 的用户,相信大多数都已经懂得这些东西,IIS用户,请看下图:
(1) 设置目录为只读
复制权限
图-1:复制权限
设置为只读
图-2:设置为只读
(2)设置不允许执行脚本
设置不允许执行脚本
图-3:设置不允许执行脚本
此外还需要注意问题是,不管IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。
不过仅进行上面的设置还是不行,服务器安全设置更重要,如果经常被挂马可以找我们解决,杜绝挂马,服务器相关软件下载地址s.jb51.net
附:
1.Apache站点安全设置
如果是Windows2003下,可以对Apache进行如下操作:
1.1.在计算机管理里的本地用户和组里面创建一个帐户,例如:DedeApache,密码设置为 DedeApachePWD,加入guests组(如果出现问题,可以赋予user权限);
1.2.打开开始->管理工具->本地安全策略,在“用户权限分配”中选择“作为服务登陆”,添加DedeApache用户;
1.3.计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找 选择DedeApache,输入密码DedeApachePWD,然后点确定(这个时候apache还不能正常启动,一般情况肯定会报错:Apache2.2 服务因 1 (0x1) 服务性错误而停止。);
1.4.赋予apache安装目录(比如:D:/apache2.2)以及web目录(比 如D:/wwwroot)DedeApache帐号的可读写权限,去除 各磁盘根目录除administror与system以外的所有权限,赋予DedeApache安装 目录所在的磁盘根目录apache帐户的可读取列目录权限
我们在站点配置中可以添加如下内容:
代码如下:
<Directory "D:dedecmswwwuploads">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
<Directory "D:dedecmswwwdata">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
<Directory "D:dedecmswww emplets">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
<Directory "D:dedecmswwwa">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
这里对应就取消了对应目录的脚本执行权限。2.data目录路径更改
另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:
2.1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;
2.2.配置include/common.inc.php中DEDEDATA文件
代码如下:
define('DEDEDATA', DEDEROOT.'/data');
可以改成类如:代码如下:
define('DEDEDATA', DEDEROOT.'/../../data');
2.2.3.后台设置模板缓存路径
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
相关教程
图文教程
dede织梦默认首页及www的301跳转设置方法
这是我在做站到之后上线的时候遇到的一个特别棘手的问题。本来租的是空间,在不找空间服务商解决或者空间不支持的的情况下:
dedecms5.7怎么删除烦人的织梦链
才发现dedecms 5.7就是5.6的官方广告版,加了一个垃圾的织梦链的东西,来偷偷添加黑链,让我站收录大幅度下滑,百思不得其解,后来想起是因为中间换了一个主题
织梦dedecms系统列表页怎么自动统计当前栏目文档总数
今天在网上看到一个织梦DedeCMS系统列表页自动统计当前栏目文档总数的方法,这里跟大家分享一下!实现这个功能有2种方法:
dedecms织梦搜索页怎么调用arclist标签
打开include/arc.searchview.class.php查找:require_once(DEDEINC."/taglib/hotword
相关源码
-
(自适应响应式)装修装潢设计公司网站源码下载本模板为装修设计企业打造,采用PbootCMS内核开发,整体设计突出空间美学与功能性结合。首页采用大图轮播展示工程案例,服务项目模块支持三维效果展示,呈现装修设计企业的专业形象与技术实力。查看源码 -
(自适应响应式)pbootcms紫色美容整形机构企业模板下载基于PbootCMS内核开发的响应式网站模板,为医疗美容机构、整形医院等企业设计,提供完整的线上展示平台采用紫色系配色方案,整体风格专业大气。模板包含首页轮播、服务项目、专家团队、案例展示等核心模块,能够充分展示医疗美容机构的专业服务和特色优势。查看源码 -
(自适应)餐饮小吃火锅加盟pbootcms模板源码下载本模板基于PbootCMS系统开发,为火锅餐饮、小吃加盟等餐饮企业打造。采用响应式设计,适配各类移动设备,帮助餐饮企业展示特色菜品、加盟政策和服务优势。查看源码 -
(自适应)电子元件电路板元器件pbootcms网站源码下载为电子元器件、电路板制造类企业设计,特别适合展示产品参数、技术规格等内容。采用响应式技术,确保各类电子元件在不同设备上都能清晰展示。查看源码 -
(自适应响应式)蓝色环保机械设备网站pbootcms模板HTML5源码下载基于PbootCMS的生态环境技术展示平台,通过内容调整可应用于新能源设备、污水处理、空气净化等环保相关领域。设备参数采用对比表格展示,技术原理支持图文混排;查看源码 -
(带手机版)绿色生态农业种植农产品网站pbootcms源码下载本模板基于PbootCMS内核开发,为生态农业企业量身打造,适用于农业种植、有机农场、农产品电商等业务场景。模板设计充分体现绿色环保理念,突出农业特色,同时保持简洁大气的视觉效果,帮助农业企业建立专业形象。查看源码
| 分享笔记 (共有 篇笔记) |
