織夢各個目錄安全詳解 做織夢(dedecms)網(wǎng)站安全必看
1、a 因為是靜態(tài)目錄,并且在要生成HTML的,所以拒絕腳本執(zhí)行 允許寫入
2、data 因為是緩存等,所以充許寫入,但是因為這里面的文件引入到其它地方進行使用,所以要拒絕腳本執(zhí)行
3、dede 后臺管理目錄,并且這個一般情況下不需要修改,所以允許腳本執(zhí)行,拒絕寫入
4、images 僅是存系統(tǒng)圖片, 所以拒絕腳本執(zhí)行,拒絕寫入
5、include 雖然這個目錄有系統(tǒng)庫,一般情況下也是引入到其它地方使用,但是也有一些文件需要執(zhí)行,比如驗證碼,但是一般不需要修改。所以允許腳本執(zhí)行,拒絕寫入
6、install 這個目錄在系統(tǒng)安全完之后,直接delete。 系統(tǒng)部署之后,這個文件夾就沒有用了
7、member 如果不使用會員系統(tǒng),這個目錄夾也可以直接刪除。
8、plus 這個插件目錄,不需要修改的,允許腳本執(zhí)行,拒絕寫入
9、special 這個專題文件夾,一般我們會改名。與a目錄一樣,拒絕腳本執(zhí)行,允許寫入
10、templets 這相模板目錄,拒絕執(zhí)行,拒絕寫入。黑客主要想改的就是它,所以一定要寫入,雖然拒絕寫入之后,比較麻煩,如果修改模板,要先允許寫入,再修改再去拒絕寫入,但是不要嫌麻煩,畢竟為了安全嘛。
11,uploads 上傳目錄,不用說必須拒絕腳本,允許寫入,一個不小心,黑客就給你上傳個木馬上來了,。
除此之外,還有一些需要做的,就是修改后臺dede的目錄名,減少一個風險,還有就是將data目錄根目錄之外,這也是官方要求做的,但是不得不說,這會帶來很多問題,比如訪問根目錄下面的index.php會了錯,三級聯(lián)動也會出錯。 index.php 可以通過修改代碼解決,如果你不需要三級聯(lián)動功能,可以移出data。
操作方法:
1、修改/include/common.inc.php
將 define('DEDEDATA', DEDEROOT.'/data');
改成: define('DEDEDATA', DEDEROOT.'/../data');
2、到后臺系統(tǒng)基本設(shè)置->性能選項 里面設(shè)置 模板緩存目錄為 /../data/tplcache。
