DEDECMS 安全优化
博客专区 > sayme 的博客 > 博客详情
DEDECMS 安全优化
sayme 发表于2年前
DEDECMS 安全优化
  • 发表于 2年前
  • 阅读 46
  • 收藏 0
  • 点赞 0
  • 评论 0

腾讯云 技术升级10大核心产品年终让利>>>   

摘要: DEDECMS因为开源所以导致很多漏洞被发现,而且很多用户只是为了生成静态页面,不调用其内部的多余模块。解决方案是隐藏掉所有DEDECMS的模块,让攻击者找不到真实路径。

首先将DEDE的安装目录修改为二级目录

比如原来的目录是 网站根目录

/

一般官方只要求修改后台的 dede 文件夹名字 防止后台文件暴露或者爆破管理后台

我们将DEDE整个安装到

/自定义文件夹

然后通过修改文件的形式将静态文件生成到根目录即可


修改源文件将首页生成到根目录 而不是安装目录

1、打开 dede/makehtml_all.php

2、第111行  修改为 homeFile = DEDEADMIN.'/../'.$row['position'];

3、也就是加了 .. /  上级路径 这样首页就会生成到根目录而非二级目录了


修改栏目路径将栏目和内容生成到根目录 而不是安装目录

1、修改所有栏目的文件保存路径为 /../game (这里以game栏目为例子)

2、默认栏目名应该为 {cmspath}/game

3、通过这样的方式  让栏目和内容生成到根目录


总结

通过自定义二级目录名的方式,不暴露DEDECMS的真实地址

让攻击者找不到PHP文件,也就无法进行SQL注入,上传漏洞等操作

从根本上杜绝攻击,不过仅适用于只生成静态页面的用户,但是可以满足大多数使用场景了




共有 人打赏支持
粉丝 2
博文 8
码字总数 4412
×
sayme
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: