使用dedecms建站于是乎安全都是一个永恒的话题,网站上线之后需要怎么加强安全防护这对于很多的新手站长来说是有那么一些迷茫的,而网站的各种攻防有必须去做,今天就来分享一下dedecms服务器上的安全加固方法吧。
01网站安装时的安全加固
不论是本地环境还是服务器环境,建站的第一步就是安装dedecms,在安装的过程中,在填写数据库信息这里,记得修改一下数据表前缀,默认是“dede_”,将dede修改为其他的,避免hiker直接就知道数据表前缀进行某些敏感操作,修改了虽然不能说提高了多少安全性,但起码也会给他增加攻击你网站的难度。
dedecms安装修改数据表前缀很多的站长在安装时都习惯使用默认的,这是样不好,改一下对网站也没有什么影响,如果是已经安装过的网站,可以百度一下修改dedecms默认表前缀的方法对照修改。
另外安装的时候管理员用户名不要用admin或administrator这种大家都能猜到的用户名,可以使用你的网名或经过设计的用户,要避免别人来猜你的管理员账号,在安装系统的时候就设置好;密码也尽量设置复杂一些,别用那些常见的弱密码。已经安装好网站可以去后台---系统设置里面更改管理员用户名和密码!
02按照后台提示修改相关设置
在网站后台首页,你会看到如下图所示的提示,因为我这个是安装在本地电脑上的测试网站,所以没有做修改,但是如果有提示就要按照要求去修改。
dedecms后台首页安全提示把网站后台默认的dede这个文件夹重命名为其他的,比如mycms、lovedd等都是可以的,因为我们都知道dedecms默认的后台登录地址,你不修改即使小白也会找到你的后台登录地址。修改好这里还有屏蔽一下搜索引擎收录登录页面,我发现百度搜索引擎会收录后台登录页面,很多的网站后台登录文件夹重命名设置很复杂,但是被收录了,hiker可以通过搜索引擎找到登录页面地址,这个很不妙。方式是打开dedecms根目录\dede\templets\login.htm文件,搜索代码:
title?phpechocfg_webname.;?/title
在这句代码的前面一行添加:
metaname=robotscontent=noindex这句代码的意思是告诉所有的搜索引擎禁止索引本页面,不建议在robots.txt文件内使用disallow来屏蔽,因为懂行的人会去看你的robots文件,发现有一个奇怪的文件夹,他可以尝试去访问。
使用meta的方式来屏蔽搜索引擎抓取收录登录页面才是最佳的方法,这个由于很多开发或站长不懂SEO优化,在在这里往往会被忽略掉,或者使用不正确的方法。
03data/