DedeCMSv5.7SP1后台空白以及安全问题。

DedeCMS安全提示

1.目前data、uploads有执行.php权限,非常危险,需要立即取消目录的执行权限!
2.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT);

第1条解决办法是在NGINX的server中添加如下规则:

        location ~* /(data|uploads)/.*\.php$ {
                deny all;
                }

第2条解决办法就是把文件设为只读,如果已经是644属性依然提示,就设置成444

chmod 444 ./data/common.inc.php

部分使用PHP 5.3的主机可能会有下面的提示:

(PHP 5.3 and above) Please set ‘request_order’ ini value to include C,G and P (recommended: ‘CGP’) in php.ini

由于在PHP最新的版本中增加了一个配置项目“request_order”,默认值为“GP”,这个存在一定的安全风险。这里我们建议用户将配置更改为“CGP”

可以在phpinfo中查看对应的php.ini配置目录,找到下面选项:

1 request_order = “GP”

更改为

1 request_order = “CGP”

重启PHP后即可。

One thought on “DedeCMSv5.7SP1后台空白以及安全问题。

  1. 使用chmod 444 ?/data/common.inc.php 提示文件不存在。是不是标点符号错的?SSH登录后按照你的修改。能留你的QQ问问吗

发表评论

电子邮件地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据