陈奇网络工作室

织梦更改目录结构配合权限设置终极防护

从某方面来说,织梦容易被入侵主要是因为目前有批量入侵织梦的软件,省去了人工操作的麻烦,基本上只要做个织梦站有了收录、排名就有比较高的机会被入侵,漏洞防不胜防,再加上大多数站长只是简单的用下织梦系统,即便用织梦仿站、创作网站,也只是在原有的目录基础上进行创建,自己省了事也方便了黑客入侵,做seo不被入侵那是不肯能的,总有人会想搞你的站,也许是同行,也许只是单纯的想给你挂个镜像劫持创造点非法收入,织梦的漏洞多,有些朋友甚至因此放弃了织梦,其实不然,只要让黑客找不到你的系统文件就变的无从下手。

经过几天的折腾,我找到了一种比较好的方法来隐匿系统文件目录:三级深度目录隐匿法,原理相当于将织梦安装在三级目录下,并让所有静态页面生成与在根目录下安装的情况相同。

当然你也可以设置四级、五级,设计三级的主要原因是考虑到目录权限设置问题,一方面让黑客找不到目录,另一方面即便找到了你的一级目录也不能在目录中写入,设置方法如下:

(1)在根目录下建立三级目录,如:

/dwosw/jfisik/sddinw/
(1)          (2)        (3)

权限设置:(1)000   (2)000  (3)755

说明:只对第三层级目录开启权限,1/2级目录下无法写入、修改、读取,这个设置的过程也是有技巧的,因为如果第一级直接设置000你是无法打开进入设置二级的,所以你可以一开始全部755然后回退设置,你甚至可以在前两级文件夹内建立个php版的301重定向到你网站上设置的404页面,这样就完成了第一步,建立隐匿目录,301跳转的php方式参考如下:

<?php
    header('HTTP/1.1 301 Moved Permanently');
    header('Location:/');
?>

/**说明:最后的Locatin:后门的斜杠你可以改成你根目录下404页面的链接地址**/

文件夹命名技巧:其实第一级目录名称你可以用:plus或者include也可以用其他,至于哪种更好看你的需要了。

(2)目录文件调整:

1:将dede、data、include、template、images、index.php移动到你创建的三级目录下,(2020年4月6日更新)并复制images文件夹留一份在根目录(这个文件中的js文件关系到后台截图功能,如果没有这个文件会造成无法操作截图)

2:如果你不需要用到会员功能可以删除member,如果你只用到搜索或者自定义表单就将plus目录下的其他php文件删除,只保留img文件夹、diy.php、search.php

3:根目录中保留其他文件,同时template也可以复制一份在根目录。

4:调整根目录下m、plus文件夹中php文件中关于include、data文件夹的指向地址,当然如果你的网站使用的是H5自适应并且没有使用自定义表单、搜索选项其实这里涉及到的php文件都可以删除,相比也会更为安全。

(3)系统设置调整

其实主要调整的是安装目录,在系统设置-核心设置-织梦安装目录 填写你的三级目录地址,如:

/dwosw/jfisik/sddinw

调整include下common.inc.php第222行:

$cfg_medias_dir = $cfg_medias_dir;

这一步是设置上传图片目录地址为根目录下的文件夹,也就是说上传图片地址不变,为了保护你的系统文件地址不被泄露。

(4)调整栏目地址

将所有栏目地址调整为/about这种形式,也就是根目录,这样生成的网站文件就会保持原有位置不变。

(5)调整首页生成静态页面地址

原有的是../index.html,因为目录层加深,所以要设置成../../../../index.html

(6)调整插件如sitemap之类生成地址

原理与5相似,找到相对应的php文件进行设置调整即可。

赞 ()
分享到:更多 ()

相关推荐

后台-系统设置-扩展变量-手机广告位-内容页底部广告位3
留言与评论(共有 0 条评论)
   
验证码: