dede织梦是老牌内容系统,开源免费,对普及网站建很大功劳
但是遗憾的是真的漏洞多如牛毛,不停的有人来挂马
为了保证安全,最加单的方案是修改常用目录,这样把漏洞入口隐藏起来,不让黑客找到入口
起码目录都很好操作,唯有include目录不好修改,依赖这个目录的代码太多了,网上有修改的教程,一般要改好多文件。
这里推荐的办法是一行代码:
rewrite ^/inclue/(.*)$ /gothehill/$1 last;
这是一个nginx伪静态配置文件,一般的网站或者虚拟机都支持并且非常容易配置。
这样就把 include 文件的重灾区给隔离起来,但是又不影响其他php文件的访问。
然后发现后台登陆验证码要直接访问这个目录,真实奇葩了。
在加一行,最后结果
rewrite ^/include/vdimgck\.php$ /include/vdimgck.php last;
rewrite ^/include/(.*)$ /gothehill/$1 last;
----
当然强烈不推荐新的项目继续使用本套软件。
--更新
发现后台有js文件和静态文件在这个目录里面,真是绝了啊
改为
rewrite ^/include/(.*)\.php$ /gothehill/$1 last;