服务器–网站目录需要给users用户写入权限,不然网站发不了文章和修改网站权限【注意】
已经确认,iis8网站文件权限设置只需要修改users用户权限就可以
a data tlemp uplods html 可写入 取消脚本执行权限
目录权限设置:data、templets、uploads、a目录,设置可读写,不可执行的权限。
include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装附加模块的 book、ask、company、group 目录同样如此设置)【重点-users权限】
1.下载最新的织梦版本dede.v5.7.sp2,安装的时候admin改掉,密码超过10位,后台登录开启验证码功能。
2.安装的时候数据库不要用root新建账户,dede_表前缀改掉,数据库名改复杂点
3.后台dede目录改掉/tp_adminx(IIS设置admin后台限制IP访问)
5.装好DEDE后及时把install文件夹删除。(必删)
4.如网站不需要使用会员,建议删除 member会员功能
7.如果网站不需要专题的,建议删除 special专题功能
7.如果网站不需要企业的,建议删除 company企业模块
7.如果网站不需要留言的,建议删除 plus\guestbook留言板
6.删掉系统版本信息 /data/admin/ver.txt
8.不建议用户把栏目目录设置在根目录, 这样进行安全设置会十分的麻烦,放在a目录下面。
9.将每个目录添加空的index.html,防止目录被访问;
10.做好网站301页面、403页面、404页面可以禁止访问某页或某文件。
11.官网出的万能安全防护代码
12.IIS设置admin后台限制IP访问
目录权限设置:data、templets、uploads、a目录,设置可读写,不可执行的权限。
include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装附加模块的 book、ask、company、group 目录同样如此设置)
10.将data目录转移到非Web目录(设置可读写,不可执行的权限)(此步骤操作有难度)
(数据库操作) :不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
原文链接:https://www.cnblogs.com/lazb/p/12657989.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18111