服务器及DEDECMS网站安全设置

2014年-05月-23日

自动有了网络,就有了网络安全的话题,对大多数站长来说,我们从源头就具备很多的不安全与不可把控的因素:
首先:大多数的站长用的都是租用的服务器或VPS更多的是虚拟主机,其中虚拟主机由于起步比较低,环境配置等都相对简单,应用最为广泛。但是虚拟主机商并
未对虚拟主机上的设置做更多的人性化配置,所以默认情况下,虚拟主机是最不安全的。
因为虚拟主机的可操控性很小,所以以下安全配置主要针对服务器及vps而言。
主要的安全措施主要包括如下几点:
 
1,安装安全防护软件并进行安全配置
 
服务器的安全软件有很多,这里推荐免费的安全狗软件,包括服务器安全狗以及网站安全狗。
更改默认用户名,win的为administrator 改掉并设置复杂的密码
改变远程端口,默认3389改掉成5位的复杂端口,这个可以修改注册表,也可以借助软件更改



要注意的是改完端口后一定要在防火墙中增加该端口的例外,不然将无法远程登陆;
若忘记了这个步骤,就只能找服务器商处理了。

2,配置服务器安全软件



保护系统帐号,防止万一某个地方出现漏洞被提权



保护文件及目录,主要是在网站保护里面设置禁止创建 php asp jsp等等你不想让别人创建的文件,尽量避免一个网站被入侵后带来的安全风险



网站安全狗设置临时黑名单,防止那些无聊的人,一次又一次的尝试。
其他还有很多配置都是默认开启的,我们需要根据实际情况进行调整。

3,配置IIS ,务必每个网站一个用户,每个目录一个单独的用户,一个用户只可以管理一个网站目录



同时将IIS的对应网站用户配置为同一用户



再将PHP的权限减少到get&post



到此服务器的主要安全配置告一段落,当然还有其他很多要设置的地方,不过其他的一般网上都有很多千篇一律的我就不解释了

4,采用加速乐等方式隐藏网站IP

主要是采用加速乐等方式,隐藏网站的真实IP地址,减少网站旁注的可能性;
而且加速乐之类方式还可以在一定程度上,防御DDOS等攻击、SQL注入以及他的主要功能加速等等。
加速乐里面的设置都比较简单,就不截图了
只要在域名哪里解析一下,或配置下DNS就可以了
后面加速乐里面的功能都比较少,逐一设置即可

5,减少网站不必要的模块,静态网站可以在不更新的时候关闭数据库连接

大多数站长都采用cms系统,cms是针对大众客户的系统,所以对我们而言,我们可能只用到了其中的一部分功能,很多模块可能都没有涉及,
而这些你没有涉及到的模块很可能大多数人都用的比较少,所以漏洞也难以发现,而成为攻击的切入点,所以不需要的功能我们可以关闭掉甚至删除相关文件。
这里以最常用也最不安全的dedecms为例讲解怎么设置

首先要经常更新,这个是毋庸置疑的


然后,在后台卸载不需要的模块,在后台--模块--模块管理里面,将不需要的模快全部卸载
如果不需要会员,就删除会员文件夹,删除安装文件夹,

plus目录是入侵常用的目录,其下面有很多我们用不着的文件,删除掉
部分文件的功能我都列出来了,可以参考



同样include文件夹下也有很多垃圾文件,用不上的安全隐患也要删掉

还有一种情况就是当我们客户网站长久不更新内容的时候,客户肯定也不会去更新网站安全补丁,我们将他网站数据库关闭掉
到需要的时候再开启这样整个网站都是静态网站的状态,理论上是最安全的。
很多人用dede系统出问题都抱怨这个系统如何如何不好,其实每个系统都有一定的漏洞,用的人多了,漏洞被发现的也就多了,也有更多的人有兴趣去研究漏洞,正是这样攻防之间,促进一个系统的进步与成熟,
当一个oday出现的时候,你的网站被入侵了,而那些老鸟的网站没有,根本的区别还是在于对安全防范的意识与方法,所以,加强安全意识至关重要。我这里讲到的这些,也是一些常用的方法而已,还有很多值得我们去共同探讨。