三種加強(qiáng)織夢(mèng)CMS安全性的方法介紹

來(lái)源:解決方案 2012-08-13

快速提升網(wǎng)站銷(xiāo)量，使用365webcall網(wǎng)頁(yè)客服工具

目前幾乎所有的個(gè)人網(wǎng)站都是用開(kāi)源建站系統(tǒng)搭建的。開(kāi)源系統(tǒng)帶來(lái)的最大好處,就是降低了建站的門(mén)檻。你不需要有多么好的開(kāi)發(fā)技術(shù),甚至你連最基本的HTML語(yǔ)言都不懂也無(wú)大礙。官方豐富的使用幫助文檔以及網(wǎng)友們分享的經(jīng)驗(yàn)技巧,讓你很快就能上手。

但由于開(kāi)源系統(tǒng)的源代碼都是公開(kāi)的,網(wǎng)絡(luò)黑客們可以輕松找出系統(tǒng)的漏洞,并且這些漏洞可以應(yīng)用到成千上萬(wàn)個(gè)相同建站系統(tǒng)的網(wǎng)站上,這對(duì)我們這些菜鳥(niǎo)站長(zhǎng)來(lái)說(shuō),無(wú)疑使最可怕的。我們?cè)撊绾翁岣咦约壕W(wǎng)站的安全性呢?今天我就以使用廣泛的織夢(mèng)CMS建站系統(tǒng)為例,來(lái)講述三種有效的防范網(wǎng)站被黑的方法。

1、更改后臺(tái)管理目錄名

黑客要入侵一個(gè)網(wǎng)站,一般都是通過(guò)sql注入破解網(wǎng)站后臺(tái)管理員賬號(hào)密碼,然后登錄到后臺(tái),上傳木馬,獲取webshell提權(quán),直到完全控制整個(gè)網(wǎng)站。如果我們能修改管理員表的表名和網(wǎng)站后臺(tái)的管理目錄名,黑客們就無(wú)法破解網(wǎng)站的管理員賬號(hào),即便獲取了管理員賬號(hào),也可能因?yàn)闊o(wú)法知道網(wǎng)站后臺(tái)管理目錄而無(wú)法登錄以至于放棄。

對(duì)于管理員表名和后臺(tái)管理目錄的修改,應(yīng)盡量不要出現(xiàn)admin或manager關(guān)鍵字,這樣可以大大加大黑客的破解難度。需要注意的是,在數(shù)據(jù)庫(kù)中修改管理員表名后要修改源碼中相應(yīng)的表名�？棄�(mèng)V5.7中一共有27處需要修改,大家可以通過(guò)搜索“#@__admin”進(jìn)行替換,我就不一一指出了。

2、更改數(shù)據(jù)庫(kù)表的前綴通配符

這里說(shuō)的前綴通配符不是指安裝時(shí)輸入的數(shù)據(jù)庫(kù)表名的前綴,而是指系統(tǒng)源碼中的“#@_”字符串。

我曾經(jīng)在自己一個(gè)被黑的網(wǎng)站中看到很多來(lái)路不明的文件中寫(xiě)了很多直接操作數(shù)據(jù)庫(kù)的代碼,這其中對(duì)表的操作就都包含了“#@_”字符串,如果我們修改了源碼中的“#@_”字符串,那么這些來(lái)路不明的文件就都不起作用了。

3、修數(shù)數(shù)據(jù)庫(kù)初連接配置文件

在織夢(mèng)的data/common.inc.php文件中,記錄著數(shù)據(jù)庫(kù)連接信息,而這些信息都是明文的,很不安全。我們可以用兩種方法來(lái)讓它變得安全。

一種是添加多個(gè)變量(幾十個(gè)甚至上百個(gè)),這些變量中只有六個(gè)是真正起作用的,其他的都是用來(lái)擾亂黑客的判斷。

還有一種辦法是給數(shù)據(jù)加密,不過(guò)這種需要站長(zhǎng)們有一定的編程技術(shù)。無(wú)論哪種方法,都需要在數(shù)據(jù)庫(kù)初始化類(lèi)中做相應(yīng)修改,但第一種方法只需改幾個(gè)變量名,相對(duì)就簡(jiǎn)單多了。

以上三種方法對(duì)織夢(mèng)CMS系統(tǒng)的安全能起到很重要的作用,而很多站長(zhǎng)朋友對(duì)提升網(wǎng)站安全的辦法都無(wú)從下手。希望本文能對(duì)廣大站長(zhǎng)朋友的織夢(mèng)網(wǎng)站安全有所幫助!

本文來(lái)自: 轉(zhuǎn)載請(qǐng)保留信息,謝謝。

文章編輯: 365webcall網(wǎng)上客服軟件(www.365webcall.com)

我的評(píng)論

登錄賬號(hào)：

密碼：

快速注冊(cè) | 找回密碼