分类 建站 下的文章

织梦安全问题

1、删除member和special

2、删除plus下一下文件

plus文件夹下,打开plus文件夹,我们需要删除:
guestbook文件夹 【留言板】
task文件夹 【计划任务控制文件】
ad_js.php 【广告程序】
bookfeedback.php和bookfeedback_js.php 【图书评论和评论调用文件,存在注入漏洞,不安全】
bshare.php 【分享到插件】
car.php、posttocar.php和carbuyaction.php 【购物车】
comments_frame.php 【调用评论,存在安全漏洞】
digg_ajax.php和digg_frame.php 【顶踩】
download.php和disdls.php 【下载和次数统计】
erraddsave.php 【纠错】
feedback.php、feedback_ajax.php、feedback_js.php 【评论】
guestbook.php 【留言】
stow.php 【内容收藏】
vote.php 【投票】

3.删除dede下面一下文件

dede文件夹下我们需要删除:
以file_xx .php开头的系列文件及tpl.php 【文件管理器,安全隐患很大】
soft_add.php、soft_config.php、soft_edit.php 【软件下载类,存在安全隐患】
mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.ph 【邮件发送】
media_add.php、media_edit.php、media_main.php 【视频控制文件】
以story_xxx.php开头的系列文件 【小说功能】
ad_add.php、ad_edit.php、ad_main.php 【广告添加部分】
cards_make.php、cards_manage.php、cards_type.php 【点卡管理功能文件】
以co_xx .php开通的文件 【采集控制文件】
erraddsave.php 【纠错管理】
feedback_edit.php、feedback_main.php 【评论管理】
以group_xx .php开头的系列php文件 【圈子功能】
plus_bshare.php 【分享到管理】
以shops_xx .php开头的系列文件 【商城系统】
spec_add.php、spec_edit.php 【专题管理】
以templets_xx .php开头的系列文件 【模板管理】
vote_add.php、vote_edit.php、vote_getcode.php 【投票模块】

安装一个安全狗 还有就dede换成别人不知道的名字

dedecms文件目录以及权限设置

dedefilestructure.jpg

a

作用:DedeCMS 系统默认的 用来存放系统生成的 纯静态 HTML 页面 的 目录。
权限:可写,可读。

assets

作用:用来存放 DedeCMS 所需要的 css 、js 以及 图片 等 静态资源文件。
权限:可读。

data

作用:是 DedeCMS 系统的 数据 目录。
权限:可读,可写,可执行。

dede

作用:是 DedeCMS 系统默认的 管理后台 目录。
权限:可读,可执行。

images

作用:此目录,和上面的 assets 目录是同样的类型。
权限:可读。

include

作用:DedeCMS 系统的 核心 目录。
权限:只建议开启 可读、可执行 权限,不建议长时间同时开启 可读、可写、可执行 权限。

install

作用:DedeCMS 系统的 安装程序 目录。
权限:安装成功后,可以直接删除该目录。

m

作用:是 DedeCMS 系统的 移动端 目录。
权限:目录下不需要写入 DedeCMS 系统生成的纯静态HTML文件,可读、 可执行 即可;目录下需要写入 DedeCMS 系统生成的纯静态HTML文件,先 chmod -R 755 m,再chmod -R 555 m/assets

member

作用:DedeCMS 系统的 会员系统 目录。
权限:直接删掉。

plus

作用:DedeCMS 系统的 插件及辅助功能 目录。
权限:可读,可执行。

special

作用:DedeCMS 系统的 专题 目录。
权限:可以直接删除此目录。可读、可执行。

templets

作用:DedeCMS 系统的 模板 目录。网站所使用的模板文件,就存放在该目录下。
权限:上线后,可读。需要编写,临时开启 可写。

uploads

作用:DedeCMS 系统默认的 附件 目录。
权限:可写,可读。

在 Linux 系统中,限定特定端口只能由指定 IP 登录,可通过防火墙工具(如firewalld或iptables)实现。以下是两种常用工具的配置方法。Ubuntu 系统默认使用的防火墙工具是 ufw(Uncomplicated Firewall),它是iptables的前端工具,设计初衷是简化防火墙配置,适合新手和日常基础使用。

常用基础命令

  • 启用防火墙
    sudo ufw enable
  • 关闭防火墙
    sudo ufw disable
  • 查看防火墙状态
    sudo ufw status
  • 允许特定端口(如22号端口)
    sudo ufw allow 22
  • 允许特定IP访问所有端口
    sudo ufw allow from 192.168.1.100
  • 允许特定IP访问指定端口(如允许192.168.1.100访问80端口)
    sudo ufw allow from 192.168.1.100 to any port 80
  • 拒绝某个IP的所有访问
    sudo ufw deny from 192.168.1.200
  • 删除已添加的规则(先通过sudo ufw status numbered查看规则编号)
    sudo ufw delete 规则编号

如果需要更复杂的防火墙配置(如端口转发、高级规则等),可以直接使用iptables,但ufw已能满足大多数常规场景需求。

生效与验证

  • 启用防火墙(若未启用)
    sudo ufw enable
  • 重新加载规则(配置后建议执行)
    sudo ufw reload
  • 查看已配置的规则
    sudo ufw status verbose

有必要限定ip的端口

  • SSH 端口(22)
    SSH 用于远程登录服务器,若开放给任意 IP,易遭受暴力破解攻击。强烈建议仅允许信任的 IP(如管理员办公 IP)访问。
  • FTP 相关端口(21、20 等)
    端口 21 是 FTP 控制端口,数据传输通常涉及端口 20(主动模式)或随机端口(被动模式)。FTP 传输未加密时风险高,建议仅对内部 IP 或特定业务 IP 开放。
  • 数据库相关端口
    3306(MySQL):数据库端口,若暴露公网,数据泄露风险极大,必须限定可访问的 IP(如应用服务器 IP)。
    1433(SQL Server):同理,仅允许业务关联的 IP 访问。

优先处理 22、3306、1433、21 等直接涉及远程管理、数据存储的端口,通过 ufw 限定访问 IP,大幅降低被攻击风险。

问题
当前证书申请并验证成功,自动部署失败,请尝试手动部署证书! 证书错误:
nginx: [emerg] no "ssl_certificate" is defined for the "listen ... ssl" directive in /www/server/panel/vhost/nginx/your-domain.conf:1
nginx: configuration file /www/server/nginx/conf/nginx.conf test failed

解决
这个错误提示表明 Nginx 配置文件中存在问题:在 /www/server/panel/vhost/nginx/your-domain.conf 的第 1 行,有一个 listen ... ssl 指令,但没有定义对应的 ssl_certificate(SSL 证书)配置。

  1. 编辑 Nginx 配置文件:
    路径: /www/server/panel/vhost/nginx/your-domain.conf

    • 在listen 80字段中,看是否缺失主域名或www二级域名。

  2. 添加 SSL 证书配置:(找到第二个server块,添加 HTTPS 监听配置)

    • listen 443 ssl; # 添加HTTPS监听
      在包含 listen ... ssl 的 server 块中,添加以下两行配置(请替换为实际证书路径):
    • 宝塔面板:证书默认路径一般为:
    • /www/server/panel/vhost/ssl/your-domain/fullchain.pem(证书文件)
    • /www/server/panel/vhost/ssl/your-domain/privkey.pem(私钥文件)
  3. 重启nginx服务。

由于主机只有1g内存,所以不能安装高版本的lnmp一键包。又因为低版本的lnmp一键包的php版本只到7.0,所以限制了typecho高版本的安装。只到1.1版本。

安装数据库过程中,sqlite3无法使用,只能安装mysql。

附件上传图片失败,先更改uploads的文件夹权限到777,如果还是失败,修改php.ini文件,路径"/usr/local/php/etc/php.ini":
post_max-size=128M
upload_max_filesize=128M
max_execution_time=300
然后重启php服务,命令为"lnmp php-fpm restart"。

修改nginx.conf文件,路径"/usr/local/nginx/conf/nginx.conf":
在http{}段中添加"client_max_body_size 128m;"
然后重启服务,命令为"lnmp nginx restart"。