使用Dedecms中七个容易忽略的安全细节介绍

框架(架构)  /  管理员 发布于 7年前   210

随着CMS的流行起来，越来越多的网友开始加入到个人站长的行业里，或许不少网友认为，只要买个域名，租个空间，随后解析域名，随后FTP上传程序，程序安装以后便可以发布内容了，发布内容了便开始到处做外链了，做外链了便是真正的站长了。
只是，做站长真的是这么简单吗？对于大部分站长来说，Dedecms都是很方便的开源CMS，因为使用的人数众多，所以dedecms的安全性一直饱受诟病，不仅仅是使用dedecms的网站很容易受到攻击，甚至是织梦的官网都经常打不开，这可谓是树大招风的典型。不过呢，即便是这样，还是有很多网友支持，毕竟使用起来很上手，菜鸟都可以在很短的时间内学会操作；不过如果你真的喜欢dedecms，那么在使用的过程中要注意以下七个容易忽视的安全问题。
一、随手下载使用别人的模板
Dedecms之所以流行，一个很重要的原因便是模板很多，而且模板很漂亮，不少的网友便是直接下载官方程序，随后找个模板套上，这样便可以完成很多的网站。不过呢，在下载模板的时候，最好检查下模板上是否有黑链或者别的广告代码什么的，这些都可能影响网站安全。
二、没有限制文件夹脚本运行
这是官方提供的建议，因为dedecms很容易受到攻击，如果不小心被上传文件了，如果你的文件夹有限制脚本运行的权限，那么这些文件还是无法运行的。目前uploads、data、templets这三个目录是要禁止php文件运行的，同时common.inc.php要设置为只读。
三、没有及时升级补丁或版本
不管是什么开源程序，都会有不同的版本，目前dedecms很流行的版本是5.6或5.7，不过之前的版本还是会更新漏洞补丁的；使用dedecms建站，那么要不定期在后台升级补丁，这和使用windows系统一样，没有补丁便没法保证安全，不管多忙都要去后台升级补丁。
四、没有限制会员上传文件格式
Dedecms还是很强大的，不仅可以做内容网站，还可以做社区，支持投稿，支持和论坛数据加在一起等；不过，因为涉及到注册会员投稿什么的，那么要特别注意会员上传文件的格式，要在后台设置清楚允许上传的附件及图片，不少漏洞都是利用会员上传文件攻击的。
五、没有修改管理员账号及昵称
Dedecms管理员账号是admin，默认的管理员昵称同样是admin，这里的昵称便是发布文章时显示的发布者，为避免管理员账号泄露，那么一定要修改昵称，昵称在账号管理里可以修改，建议改为中文；至于管理员账号，在数据库里修改，避免别人已知账号暴力破密码。
六、没有修改后台地址或写入robots.txt
使用这类有后台的CMS，那么一定要修改后台地址，同时要补丁修改；不过呢，不少新手推测搜索引擎可能会收录到后台地址，于是乎在robots.txt中禁止收录后台目录，这样反而是此地无银三百两，让那些不坏好意的人有机可乘。如何书写robots.txt可以参照站长网。
七、网站出现问题轻易给出后台
身为站长，或多或少都会遇到网站改版或者网站中毒的问题，遇到这类问题的时候，难免要找人解决问题，论坛便有不少专门解决这类问题的人，不过这些人是好坏都有，不少人上Q后便直接说自己能解决问题，随后问后台地址及密码，这个时候站长千万不要激动，要先查看下对方的信息，不少不诚信的人便在这时候轻易控制你的网站添加黑链或潜在漏洞什么的。
不管怎样，不管别的CMS怎么宣传安全性和稳定性，还是无法阻挡广大站长使用dedecms，毕竟简单啊，简单易用才是王道，不过在方便的时候不要忘了这些容易服饰的安全问题哦。