http://www.aliweihu.com/998.html

第一步&＃xff1a;精简程序

 

1. member文件夹&＃xff1a;不需要会员功能请删除

2. special文件夹&＃xff1a;不需要专题功能请删除

3. install文件夹&＃xff1a;网站安装后&＃xff0c;请删除

4. plus文件夹&＃xff1a;保留view.php、list.php、count.php及文件夹 img 即可保证基础功能使用

其他文件选择性保留&＃xff0c;如&＃xff1a;

diy.php  自定义表单功能

guestbook.php 及 guestbook 文件夹 网站自带留言薄功能

search.php 搜索页

download.php 下载功能

 

第二步&＃xff1a;后台安全

 

很多站长建站后连最基础的后台路径 dede 都不修改&＃xff0c;并且账号密码也是admin&＃xff0c;那么黑客直接就可以进入你的后台了&＃xff0c;所以请修改后台路径为比较难猜测到的文件夹&＃xff0c;密码请也一定修改掉

 

第三步&＃xff1a;服务器安全

 

关闭写入权限&＃xff1a;plus 、 include 、后台目录

关闭执行权限&＃xff1a;templets、uploads、data

说明&＃xff1a;在本站购买的西部数码空间在安全设置里关闭写入权限&＃xff0c;在目录保护里关闭执行权限&＃xff01;

 

 

网站安全中&＃xff0c;对目录的执行权限是非常敏感的&＃xff0c;一般来说&＃xff0c;可以写入的目录是不能够拥有脚本的执行权限的&＃xff0c;像DedeCMS系统&＃xff0c;可写入的有两个目录data、uploads&＃xff0c;data目录主要是基本配置文件和缓存数据&＃xff0c;uploads则是附件上传保存的目录&＃xff0c;本篇将针对不同服务器环境来介绍如何取消这两个目录的执行权限&＃xff0c;当然我们也建议用户其他一些生成纯静态html的目录&＃xff0c;拥有可写入权限的也统统去除执行权限&＃xff0c;这样系统会更为安全。

Windows下的IIS

IIS6.0

打开IIS中站点&＃xff0c;在站点uploads目录、data目录以及静态html生成目录点击右键&＃xff0c;菜单中选择“属性”&＃xff0c;在目录属性面板选择执行权限为“无”即可。&＃xff08;如图1&＃xff09;

&＃xff08;图1&＃xff09;

IIS7

IIS7也类似于IIS6.0&＃xff0c;选择站点对应的目录&＃xff0c;data、uploads及静态html文件目录&＃xff0c;双击功能试图面板中的“处理程序映射”&＃xff08;如图2&＃xff09;

&＃xff08;图2&＃xff09;

在“编辑功能权限……”中&＃xff0c;我们直接去除脚本的执行权限即可。&＃xff08;如图3&＃xff09;

&＃xff08;图3&＃xff09;

Apache下目录脚本的执行权限设置

独立主机配置

在Apache中&＃xff0c;没有Windows 下IIS的图形管理界面&＃xff0c;我们需要手工修改下apache的配置文件&＃xff0c;来进行目录脚本的执行权限的设定。
首先我们找到apache的配置文件httpd.conf&＃xff0c;通常情况下&＃xff0c;该配置文件在apache安装目录下的conf文件夹中&＃xff08;如图4&＃xff09;。

&＃xff08;图4&＃xff09;

打开httpd.conf文件&＃xff0c;找到内容中如图5的位置&＃xff1a;

&＃xff08;图5&＃xff09;

将需要限制执行脚本文件的目录配置添加到下方&＃xff1a;

配置内容为&＃xff1a;

view source

print?

1	<Directory "DIR">

2	<FilesMatch ".(php|asp|jsp)$">

3	Deny from all

4	FilesMatch>

5	Directory>

配置内容中的DIR为需要限制执行脚本文件的目录&＃xff0c;FilesMatch后的内容为需要限定的执行的脚本后缀名。例如&＃xff1a;这里需要禁止测试站点uploads文件夹下的PHP&＃xff0c;ASP&＃xff0c;JSP脚本的运行&＃xff0c;则进行如下图6配置&＃xff1a;

&＃xff08;图6&＃xff09;

在配置完成后&＃xff0c;重启一下apache&＃xff0c;配置便生效&＃xff01;
在操作前&＃xff0c;uploads文件夹下我新建了一个index.php文件&＃xff0c;图7为未作配置前访问情况

&＃xff08;图7&＃xff09;

图8为重启apache后访问该页面的效果。

&＃xff08;图8&＃xff09;

虚拟主机/空间配置

在配置前需要确认你的空间是否支持.htaccess和rewrite&＃xff0c;该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
规则内容如下&＃xff1a;

view source

print?

1	RewriteEngine on  RewriteCond % !^$

2	RewriteRule uploads/(.*).(php)$ – [F]

3	RewriteRule data/(.*).(php)$ – [F]

4	RewriteRule templets/(.*).(php)$ – [F]

针对uploads&＃xff0c;data&＃xff0c;templets 三个目录做了执行php脚本限制&＃xff1b;
将如上内容存储至到.hatccess文件中&＃xff0c;将该文件存放到你的站点根目录下&＃xff0c;

这样&＃xff0c;目录脚本的执行权限就控制好了&＃xff0c;规则上传前后的效果同图7&＃xff0c;图8。