一行代码加强 dede系统 include 目录访问安全【原创】

技术分享 2020-03-24 15:09:28

dede织梦是老牌内容系统,开源免费,对普及网站建很大功劳


但是遗憾的是真的漏洞多如牛毛,不停的有人来挂马

为了保证安全,最加单的方案是修改常用目录,这样把漏洞入口隐藏起来,不让黑客找到入口


起码目录都很好操作,唯有include目录不好修改,依赖这个目录的代码太多了,网上有修改的教程,一般要改好多文件。


这里推荐的办法是一行代码:


rewrite ^/inclue/(.*)$ /gothehill/$1 last;


这是一个nginx伪静态配置文件,一般的网站或者虚拟机都支持并且非常容易配置。

这样就把 include 文件的重灾区给隔离起来,但是又不影响其他php文件的访问。


然后发现后台登陆验证码要直接访问这个目录,真实奇葩了。

在加一行,最后结果


rewrite ^/include/vdimgck\.php$ /include/vdimgck.php last;

rewrite ^/include/(.*)$ /gothehill/$1 last;


----


当然强烈不推荐新的项目继续使用本套软件。


--更新

发现后台有js文件和静态文件在这个目录里面,真是绝了啊

改为

rewrite ^/include/(.*)\.php$ /gothehill/$1 last;