为什么DeDeCMS不安全?DeDeCMS后台安全性讨论

来源:原创城子居 / 2016-08-09 13:53
很多人都说DeDeCMS不安全,但大多数人都没想过为什么DeDeCMS不安全?安全不是绝对的,站长在安全方面必须要有思考。下面说一些影响网站安全的行为和操作。...

DeDeCMS安全性考虑不周,主要是没考虑到很多小白站长,一些小白站长的操作就是第六人般的存在,帮助骇客黑自己。如果站长在网站安全性上有考虑,基本就可以避免一些因为低级行为而导致的安全问题。我就拿dedecms网站后台来说一下安全问题。

dedecms网站管理后台

网站后台被搜索引擎收录

对,没错。很多网站后台操作人员,在不经意间就把自己网站后台贴到前端显示出来了,而且还被蜘蛛收录了。这个问题对于公司最常见,很多人同时使用一个后台:①编辑为了给文章添加一张图片,把网站后台的预览地址贴了上去。②编辑为了加个链接,把后台文章的管理路径贴上去了。③在网站前端页面添加后台登录地址。

处理方法:1.在服务器端对管理后台做访问限制,蜘蛛访问后台路径,返回404。2.如果公司是专线独立IP,可以对IP做访问限制。3.修改默认管理后台标题“xxx内容管理系统”,即使被收录,如果收录量大骇客也不一定能找到后台。4.不在任何位置泄露网站的后台地址。

网站后台出站链接问题

很多人看来,这没什么问题。其实这里暗藏非常大的危机,这里是暴露网站管理后台的重要地方。这些出站链接形式包括:①直接链接外网站点。②调用外网资源。③加载第三方广告、统计。④自动更新功能。⑤后台插件功能。写到这里,可能大家都知道了,你的网站后台dede官方是知道的。你应该还知道,dede官方更新服务器曾经被黑过。具体说下这些链接为什么会有泄漏网站后台的风险,一旦网站后台触发访问站外,就会留下一个http Referer头信息,这里面就会包含你的管理后台路径。上面这几种情况,除第①种需要点击触发之外,其他都是默认触发的。所以可见dedecms的后台管理路径是多么的脆弱。这个问题不只是dedecms存在,基本所有的web端管理后台,都有这样的问题。

处理方法:1.禁止任何通过管理后台直接请求外网的行为。2.条件允许的情况下,对访问后台的IP做限制。3.如果非要请求外网,先过滤掉影响网站安全的数据。4.用插件前,先按照上面几点,排查下是否有请求外网数据的可能。

浏览器历史记录泄漏网站后台

这个很好理解了,主要是在别人的电脑上使用网站管理后台的时候需要注意。所以如果在不得已需要在别人电脑上登录网站管理后台的时候,退出之后,需要对浏览器进行清空缓存操作。

写在最后

看似安全的web后台,原来到处都是风险。所以安全行为很重要,也要很小心。关于dedecms安全性问题,我之前做了一些工作《DeDeCMS PHP7.0+环境支持及DeDeCMS安全脚本》,虽然织梦官方已经放出了php7.0的兼容性支持,但是对于有二次开发多的,php兼容性排查还是有价值的,而且此方案的一些安全脚本和操作,是很有价值的。

1
0

本站原创内容请勿转载,因为这样大家可以聚集在这里讨论,请将本文链接分享给他/她!

文章讨论