Que dois-je faire si les Dedecm raccrochent souvent ?
Dédié aux amis webmasters qui raccrochent souvent Soyez prudent à chaque étape pour éviter que le cheval ne pende
Étude recommandée : Dream Weaver cms
Comme dans le titre :
Je vois souvent des amis. dites "DEDECMS Il y a un problème de sécurité avec le programme et mon site Web a de nouveau été piraté."
Je pense qu'il ne devrait y avoir aucun problème avec DedeCms. D'après le code source du formulaire utilisateur dede, il est filtré.
Il y a tellement d'utilisateurs de dedecms. S'il y a une faille de sécurité, je crains que ce ne soient pas seulement quelques amis qui l'utilisent.
Voici les méthodes d'injection SQL couramment utilisées par les pirates informatiques et les choses auxquelles tout le monde devrait prêter attention
1.. Utilisez des outils, utilisez des outils de hacker pour vérifier les vulnérabilités de votre site Web ~ Bien sûr, n'en abusez pas. Utilisez simplement un logiciel de piratage qui injecte du SQL pour vérifier votre site Web (comme l'injecteur D, etc., je les ai tous utilisés et je n'ai trouvé aucune faille ni aucun endroit où Dede pourrait être piraté. Si vous ne me croyez pas, vous pouvez aussi le tester. Bien sûr, ce n'est pas parce que je ne sais pas qu'il n'y en a pas, mais vous devriez aussi savoir combien d'amis utilisent dede. est une vulnérabilité facile à détecter, le nombre de sites Web qui seront bloqués sera probablement terrifiant)
2 .L'adresse du backend doit être modifiée. N'utilisez pas le dossier DEDE comme backend. les amis ne savent même pas que le dossier backend Dede peut être renommé ! ?
3. Il est préférable d'ajouter un code de vérification en arrière-plan. Bien que cela soit un peu gênant, cela peut empêcher de nombreux petits pirates d'utiliser l'ingénierie sociale pour pirater votre site Web (je l'ai essayé, de nombreux amis). les mots de passe sont souvent un numéro de téléphone portable, un nom de domaine, un QQ, etc.)
4. Si vous ajoutez des champs à votre site Web (par exemple, demander aux utilisateurs de saisir leur date d'anniversaire lors de leur candidature, etc.) pour filtrer, ne blâmez vos propres problèmes sur DEDE. (Il est recommandé aux amis possédant certaines compétences PHP de le modifier. Pour réaliser la fonction, ce n'est pas aussi simple que d'ajouter un formulaire au premier plan, d'ajouter un formulaire de publication en arrière-plan, puis d'ajouter des champs de base de données. Pour éviter XSS attaques, vous devez faire attention à l'ajout de htmlspecialchars, mysql_escape_string())
5 Il y a aussi beaucoup d'amis qui utilisent des petits programmes dans leur propre espace pour ajouter des fonctions (j'ai aussi utilisé ces programmes et j'ai oublié de les supprimer. , mais ils ont été bloqués), tels que : les albums photo, l'enregistrement et d'autres programmes. Les auteurs de ces programmes sont tous inconnus et leurs programmes comportent fondamentalement certains risques. Certains pirates peuvent en profiter et télécharger le poney aux yeux noirs (c'est-à-dire. , un cheval de Troie) pour obtenir le droit d'utiliser votre espace virtuel, puis utilisez simplement des outils pour monter des chevaux par lots.
6. N'ignorez pas les risques des fournisseurs de serveurs IDC. Laissez-moi vous dire~ pour les pirates~ afin de pirater votre site, ils n'utilisent souvent pas le cracking point à point, mais choisissent le méthode d'injection latérale. Le seul moyen est de pirater d'autres sites Web sur le même serveur que le vôtre. Ne le croyez pas, il est très facile pour les autres de savoir qui sont les voisins de votre site Web (allez sur ce site Web pour vérifier tous les sites Web ci-dessous). la même IP par vous-même, entrez simplement votre adresse IP https://www.xx.net), il est également très facile de cracker d'autres utilisateurs sur le même serveur et de vous faire raccrocher (j'ai raccroché les sites Web d'autres personnes en utilisant cette méthode). Pour certains bons serveurs suffisamment puissants pour gérer cette restriction, ce problème ne se produira pas.
7. De plus, il est préférable de contrôler strictement la colonne de téléchargement des utilisateurs que vous activez. Ceci est également critique. Si le pirate informatique ne pirate pas votre backend, il sera beaucoup plus difficile de vous suspendre car il doit le faire. Téléchargez un outil de montage de chevaux. Si vous avez été monté à cheval, pensez à vérifier si votre site Web autorise le téléchargement de fichiers tels que html.php.asp.
8. Faites toujours attention aux correctifs de sécurité officiellement publiés par Dede. J'ai étudié plusieurs correctifs de sécurité publiés la dernière fois. Certaines vulnérabilités peuvent être exploitées par d'autres pour deux raisons (Dede y prête en fait attention). On voit que DEDE est toujours attentif aux problèmes de sécurité. Je me souviens que le patch membre a été publié en janvier, certains sites Web de pirates ont publié des articles sur les logiciels malveillants pour les sites Web qui n'appliquaient pas ce patch. Je suis très sans voix, j'espère que tout le monde fera attention aux correctifs de sécurité officiels à tout moment)
9. Certains amis téléchargent souvent les fichiers après avoir gagné le cheval sur ce forum et espèrent que tout le monde pourra étudier ensemble. pour dire "Cela ne fonctionnera pas même s'il est téléchargé." Il existe un moyen de l'empêcher, car le JS ou l'iframe n'est pas la clé. Si vous le téléchargez, tout le monde ne peut que pirater le cheval de Troie qui a crypté le fichier. "Ce que les autres laissent derrière eux n'est qu'un objectif, pas un outil.
10. Facteurs naturels irrésistibles, comme un super hacker essayant de pirater votre site Web. J'ai peur que beaucoup de choses qui ne sont pas défectueuses aient des problèmes. Croyez-moi, les pirates qui piratent votre site Web le sont tous. débutants. Hackers et hackers d'outils, si vous faites ce qui précède, ces hackers ne sauront pas quoi faire.
Je ne voulais pas poster ceci au début, mais je ne sais pas pourquoi j'ai fini par écrire autant !
Le but de publier cet article est juste d'espérer que tout le monde puisse protéger leurs sites Web et ne pas utiliser de gros mots !
S'il y a des dernières vulnérabilités ou d'autres méthodes de piratage, je publierai un article sur dede dès que possible~
Je souhaite bonne chance à tous. !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
