经常有朋友抱怨,织梦CMS系统的程序怎么漏洞这么多呢?dedecms的网站频繁被挂马,站长们都受不了了,究竟是怎么回事呢?是程序确实漏洞多,还是服务器防护不行?
其实,懂开发的人都清楚,天下没有任何一套程序没有漏洞的,你看微软投资那么多钱,聘请全世界一流的专家开发windows,那不是从推出一个windows版本,到这个版本退出历史舞台,一直在打补丁,安全漏洞就从来没有断过。对于应用量这么大的织梦程序来说,适用范围越广,关注的人越多,去寻找他的漏洞的人也就越多,暴露出的漏洞也就越多,所以给普通用户一个织梦漏洞多的印象就不足为怪了。
所以,不能说织梦本身有多差劲,要做的更好,就要从日常防护上着手。
黑客入侵,都是从给一个程序发送请求开始。所以,程序必须做好过滤。怎么检测程序是否做了过滤呢?
1.用黑客的工具检查网站漏洞。事实证明目前最新版的织梦可以利用的漏洞已经非常少了。
那么怎样加强防护呢?
2.后台地址一定要改,不要用DEDE这个文件夹做网站后台路径,如果你还不知道Dede这个后台文件夹可以改名称那就太业余了!
3.后台加上验证码,虽然麻烦了点,但是可以避免不少的小黑客用简单粗暴的尝试法来破解你的网站
4.如果给自己的网站增加了字段(比如要求用户申请时输入生日等等)要进行过滤,别把自己的问题推到了DEDE的头上。(建议有一定PHP技术的朋友去修改,为达到功能不是简单的在前台增加表单后台增加发布表单然后增加数据库字段这么简单,要防止XSS攻击就要注意增加htmlspecialchars,mysql_escape_string())
5.还有不少用户使用了一些相册、报名之类的小程序,这些程序的作者水平都不见得过关,有一定的风险简直是必须的,黑客就是利用这点上传木马,得到你的虚拟空间的使用权,然后用工具批量挂马。
6.绝不可忽视IDC服务商的风险。黑客有时要入侵一个没有漏洞的网站,直接入侵比较难,就采取迂回战术。详细说也就是攻破与你同一个服务器上的其他网站,然后拿到服务器权限后再回来入侵你的站点,即便你的程序删掉了所有有漏洞的小程序,攻入进来也是势如破竹。所以推荐大家使用万维景盛的舒心主机,这是一种定制的独享虚拟主机,在保持价格优势的基础上,独享资源,拥有独立面板,集独享资源、安全防护、价格实惠、平滑升级等优势于一身,还是值得尝试的。
7.严格控制用户上传,这是服务器防护的核心,如果黑客不是破解你后台的话,挂你马也就难多了,因为他们需要上传一个挂马工具上来,如果你已经被挂马了,切记要检查下你的网站是不是允许上传html.php.asp等文件了。值得说明的是,万维景盛舒心主机对于上传目录都是禁止php运行了的。
8.及时关注Dede官方发布的安全补丁,一些漏洞出来后,有些黑客就会做出一些入侵教程,一些小虾米黑客就可以用这些工具去入侵了,影响范围才开始变大。因此,如果你早一步采取措施升级,那么你的织梦站点就不会被攻陷。
综上所述,在力所能及的范围内,你可以采取一些措施来加强织梦的安全的,如果自己实在是个技术菜鸟,那么也可以使用万维景盛安心主机、舒心主机这些带防护的服务器,如果已经有织梦网站被黑客挂马了,也可以购买木马清理服务或主机管家服务。