Dedecms的安全设置

最近一段时间基于DEDECMS做的网站，很多人都被黑了，我的小站也不幸中招了，没办法，只能上去做点安全防范工作了。

1. 打补丁，地址：

http://www.dedecms.com/pl/

2.Linux文件安全设置：

针对部分文件夹，去掉可写权限

chmod -R 555 ask data dede include plus images templets

chmod -R 755 a uploads(此处处理还不够好，实际上我们应该对里面文件去除执行的操作，时间紧我们这么处理了)

3.Nginx服务器的配置：

location ~ /(uploads|templets|images|a)/.*\.(php|php5)?$ {
        deny all;
    }

a表示生成的静态文件

后台访问需要ip限制：

location /dede/ {
        allow 127.0.0.1;
        deny all;
    }

写法有些问题，重新测试了下

location ^~ /dede/ {
        allow 127.0.0.1;
        deny all;


        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
    }

4.除此以外，需要对php的配置文件php.ini将一些不安全的设置关上，网上此类文章很多，稍候我会再列一些相关的方案。