1. <tfoot id='w2ucarzw'></tfoot>
        • <bdo id='iwrrkc1d'></bdo><ul id='ny3p60a3'></ul>

      2. <small id='h4sj731l'></small><noframes id='xhe9xclr'>

        <legend id='w4h4o56o'><style id='uo00t1hs'><dir id='ikmyj4go'><q id='yximlb6h'></q></dir></style></legend>
      3. <i id='qmeqqp6j'><tr id='ssq810qo'><dt id='yvtnw9i8'><q id='vw1p9548'><span id='75k8ti0c'><b id='6lhcxx2f'><form id='1sjqcq8t'><ins id='6k1c5ahy'></ins><ul id='cmvsk7zp'></ul><sub id='vs1yq60f'></sub></form><legend id='b2o7om0t'></legend><bdo id='a5kfqv3d'><pre id='bk9e9hqa'><center id='2b02heb1'></center></pre></bdo></b><th id='9ij8968p'></th></span></q></dt></tr></i><div id='sast1277'><tfoot id='6zd1ejsn'></tfoot><dl id='j6qi65qt'><fieldset id='a4m3rb2y'></fieldset></dl></div>

        精准传达 • 价值共享

        洞悉互联网前沿资讯,探寻网站营销规律

        防漏洞防挂马:dedecms织梦plus目录改名提高网站安全性

        作者: 庚午网络 | 2021-01-23 14:44 |点击:

        DEDECMS

        <small id='ll28knii'></small><noframes id='33nuh9ar'>

          <i id='3chq0wjc'><tr id='q6x1gkxl'><dt id='yxza33bk'><q id='uoypl9dd'><span id='dhr6o22m'><b id='xlxz82du'><form id='896jurlx'><ins id='cvnzoj06'></ins><ul id='ob6wgmms'></ul><sub id='gq1nkhdr'></sub></form><legend id='zmei353n'></legend><bdo id='dokcpwm9'><pre id='gu0bd4i0'><center id='vqjv0v8i'></center></pre></bdo></b><th id='109wbnfg'></th></span></q></dt></tr></i><div id='vl44vf6u'><tfoot id='vn7jht7a'></tfoot><dl id='m2cnyk9r'><fieldset id='9t52w3my'></fieldset></dl></div>
          <legend id='0bodpgpy'><style id='0jrv8gfe'><dir id='a00p67n1'><q id='xjvhh6wk'></q></dir></style></legend>

          1. <tfoot id='v9omx4qi'></tfoot>
                <tbody id='91x8kers'></tbody>
                <bdo id='g991x8gq'></bdo><ul id='zj5prqhq'></ul>

                  dedecms织梦的漏洞主要集中在data、include、plus、dede、member几个文件夹中的php文件里,应该都知道,把这些文件架下面的文件进行删除,用不到的就暂时删除先,以减少攻击几率。注意删除php后还要删除想要的htm模板。

                  还有就是文件权限安全因素,可以把这些文件夹设置为不需要写入的设置为只读、但不可写入,有执行权限就行了。能写入的设置为可写入,但不可以执行权限

                  比如:将data、templets、uploads、a或html目录, 设置可读写,不可执行的权限,include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。

                  plus文件的重命名方法网上比较少,这个也比较简单,因为这个文件夹是独立的,所以本文主要说一下这个文件夹的修改。

                  首先做好整站备份,后台数据库备份,然后打包整站备份好,就算修改include更名失败只要删除就好

                  网站备份操作如下:

                  1、比如网站放在11181文件夹里面,先登录后台数据库备份,备份完成后,复制11181文件夹,然后在粘贴,这样会有一个11181 - 副本文件夹

                  2、如果改名include失败,后台不能登录,或者出现意外直接删除11181文件夹,改名11181 - 副本为11181

                  3、按照下面步骤重复改名include几次,你会成功的。备份做好,以防万一。

                  首先、plus文件夹的重命名修改,把plus替换成你想要的名字,比如nide

                  第一、include目录

                  打开\include\common.inc.php 找到

                  1
                  2
                  //插件目录,这个目录是用于存放计数器、投票、评论等程序的必要动态程序
                  $cfg_plus_dir = $cfg_cmspath.'/plus';

                  改为

                  1
                  2
                  //插件目录,这个目录是用于存放计数器、投票、评论等程序的必要动态程序
                  $cfg_plus_dir = $cfg_cmspath.'/nide';

                  1、打开include/arc.caicai.class.php 找到

                  1
                  $arr['lastpost'] = "<a href='../plus/feedback.php?aid={$arr['id']}'>说几句&gt;&gt;</a>";

                  改为

                  1
                  $arr['lastpost'] = "<a href='../nide/feedback.php?aid={$arr['id']}'>说几句&gt;&gt;</a>";

                  2、打开include/arc.rssview.class.php 找到

                  1
                  $templetfiles = $GLOBALS['cfg_basedir'].$GLOBALS['cfg_templets_dir']."/plus/rss.htm";

                  改为

                  1
                  $templetfiles = $GLOBALS['cfg_basedir'].$GLOBALS['cfg_templets_dir']."/nide/rss.htm";

                  3、打开includedialog文件下面的所有php文件

                  查找/plus/ 

                  替换成/nide/

                  有好几个地方

                  4、支付宝接口文件includepayment文件下面的所有php文件

                  查找/plus/ 

                  替换成/nide/

                  有2个地方

                  5、打开include aglibinfolink.lib.php

                  查找plus 找到

                  1
                  <a href='{$baseurl}plus/list.php?

                  改成

                  1
                  <a href='{$baseurl}nide/list.php?

                  第二、plus目录,改名后的nide目录

                  打开nide目录下所有的php文件

                  查找plus/ 

                  改成nide/

                  但是需要注意的是

                  这段代码include_once(DEDETEMPLATE.'/plus/

                  这个的目录位置是templets/plus 

                  所以,这个不要换,后面templets/plus的plus目录可以和nide不一样

                  又可以改名为nide123等等名称

                  第三、templets目录

                  default目录

                  plus目录

                  system目录

                  好几个地方都有,

                  查找plus/ 

                  改成nide/

                  但是需要注意的是

                  这段代码include_once(DEDETEMPLATE.'/plus/

                  这个的目录位置是templets/plus 

                  所以,这个不要换,后面templets/plus的plus目录可以和nide不一样

                  最后一个位置,dede目录

                  1、打开dede目录下所有的php

                  查找plus

                  有几个地方需要修改

                  注意$tmpfile = $cfg_basedir.$cfg_templets_dir."/plus/sitemap.htm";

                  这个的目录位置是templets/plus 

                  2、然后打开dede emplets目录下的所有htm

                  查找plus

                  有好多地方需要修改

                  会员目录member

                  1、打开feedback.php

                  1
                  require_once(dirname(__FILE__).'/../plus/feedback.php');

                  改为

                  1
                  require_once(dirname(__FILE__).'/../nide/feedback.php');

                  2、打开shops_orders.php

                  1
                  <a href="../plus/carbuyaction.php?dopost=memclickout&oid='.$oid.'" target="_blank">去付款</a>

                  改为

                  1
                  <a href="../nide/carbuyaction.php?dopost=memclickout&oid='.$oid.'" target="_blank">去付款</a>

                  3、打开member emplets文件夹下所有的htm

                  查找plus/

                  改为nide/

                  这样就算把plus改完成了

                  其实这个plus目录是插件的目录,比如上传插件,安装以后都会在这个文件夹里面,所以这个目录是独立的存在,可以把插件放到其他的目录。

                  不要plus也可以,把plus改成nide以后,这个目录想要不被暴露,那就改改调用标签

                  检查调用标签是否出卖了名称

                  如果不注意调用标签,调用标签出卖了目录名称,只能说你改名也是徒劳的

                  {dede:global.cfg_cmspath/}模板安装目录

                  {dede:global.cfg_memberurl/}这个是会员

                  {dede:global.cfg_cmsurl/}暴露当前目录,一般多数会暴露plus,其他的也有

                  {dede:global.cfg_templets_skin/}暴露网站模板default目录

                  把这标签统统换掉,替换成以下标签

                  注意加一根斜线{dede:global.cfg_cmsurl/}/是根目录

                  {dede:global.cfg_cmsurl/} 链接形式是http://www.nide123.cn

                  {dede:global.cfg_cmsurl/}/ 链接形式是http://www.nide123.cn/

                  如果是arclist里面加上绝对路径,调用标签是

                  [field:global.cfg_basehost/]

                  还有一个就是织梦网站有个调用js的标签,只要是网站标签调用,路径出现目录的都需要改调用标签。

                  修改plus目录重命名教程完,DEDE有很多漏洞都是出自plus文件夹下的文件,网上有很多挂马工具都有自动扫描网站PLUS目录功能用来匹配漏洞文件,因此为了避免被漏洞入侵,我们可以重命名PLUS文件夹,并将里面无用的文件都清理干净,防漏洞防挂马,提高网站安全性。

                   

                  二度创作,如有侵权请联系删除。如没特殊注明,文章均为庚午网络原创,转载请注明https://www.hngengwu.com/gengwuwenku/747.html
                    <bdo id='7ynzfc4c'></bdo><ul id='9m1eb3fv'></ul>
                • <small id='g3yqhn01'></small><noframes id='f04nn06c'>

                    <i id='kvumwomq'><tr id='wx0vib8b'><dt id='ghg3sev3'><q id='i9neyw60'><span id='ys9al0qt'><b id='5whmhz6i'><form id='2539trfh'><ins id='lrs8qd9j'></ins><ul id='bdg4gfor'></ul><sub id='c00n6wr6'></sub></form><legend id='9pofvz1q'></legend><bdo id='jp52vfm4'><pre id='r7ly53mt'><center id='afn9cwuc'></center></pre></bdo></b><th id='xuxt6xjh'></th></span></q></dt></tr></i><div id='e5wyczn0'><tfoot id='m6sgs9cx'></tfoot><dl id='qdtq0znl'><fieldset id='gb1evo3u'></fieldset></dl></div>
                  1. <tfoot id='e5s49gko'></tfoot>
                    1. <legend id='onpmjur5'><style id='1ayxerqn'><dir id='qq70m2ro'><q id='eul46dic'></q></dir></style></legend>
                      多一份策划方案,总有益处。

                      请直接添加技术总监微信联系咨询

                      网站设计 品牌营销

                      多一份参考,总有益处

                      联系庚午网络,获得专属《策划方案》及报价

                      咨询相关问题或预约面谈,可以通过以下方式与我们联系

                      业务热线:18574395938 / 大客户专线:18574395938