1、保持DEDE更新,及時打補丁。
2、裝好DEDE後及時把install文件夾刪除
3、管理目錄改名,最好是改成MD5形式的,最好長點
4、如果是使用HTML可以把plus下的相應文件和根目錄下的index.php做掉(用不到的全刪掉,還可以把數據庫裏面不用的表刪除掉)
5、不用留言本的可以把plus下的guestbook做掉
6、不用會員的可以把member做掉
7、後臺的文件管理(管理目錄下file_manage_xxx.php),不用的可以做掉,這個不是很安全,至少進了後臺上傳小馬很方便
8、下載發佈功能(管理目錄下soft__xxx_xxx.php),不用的話可以做掉,這個也比較容易上傳小馬的
9、DedeCms 萬能安全防護代碼
打開config_base.php
找到
- //禁止用戶提交某些特殊變量
- $ckvs = Array('_GET','_POST','_COOKIE','_FILES');
- foreach($ckvs as $ckv){
- if(is_array($$ckv)){
- foreach($$ckv AS $key => $value)
- if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
- }
- }
改爲下面代碼:
- //把get、post、cookie裏的<? 替換成 <?
- $ckvs = Array('_GET','_POST','_COOKIE');
- foreach($ckvs as $ckv){
- if(is_array($$ckv)){
- foreach($$ckv AS $key => $value)
- if(!emptyempty($value)){
- ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
- ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
- }
- if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
- }
- }
- //檢測上傳的文件中是否有PHP代碼,有直接退出處理
- if (is_array($_FILES)) {
- foreach($_FILES AS $name => $value){
- ${$name} = $value['tmp_name'];
- $fp = @fopen(${$name},'r');
- $fstr = @fread($fp,filesize(${$name}));
- @fclose($fp);
- if($fstr!='' && ereg("<\?",$fstr)){
- echo "你上傳的文件中含有危險內容,程序終止處理!";
- exit();
- }
- }
- }
這樣處理之後,安全上理論上可中做到一勞永逸,但缺點是使用此功能後,不能在線上傳PHP文件,如果你的站點同時支持asp、aspx等,在此基礎上修改一下上述代碼即可