从安全角度考虑,织梦CMS需要删除或重命名的一些文件包括:
1. install.php 安装文件。安装完成后该文件无用,但黑客可以利用它再次安装,需要删除。
2. install.lock 安装锁文件。和install.php配合,删除install.php也需要删除。
3. 管理目录下的 *.sql 数据库备份文件。这些文件包含数据库用户名和密码,需要删除。
4. data/admin_config.php 管理员配置文件。包含管理员信息,需要删除或重命名。
5. data/database.php 数据库配置文件。包含数据库信息,需要删除或重命名。
6. dede/config.cache.php 缓存配置文件。可通过系统设置来禁止生成,增加难度。
7. dede/m_config.cache.php 模板配置缓存文件。和上面同理,通过设置禁止生成。
8. member/inc/config.php 会员配置文件。会员模块用,包含敏感信息,需删或重命名。
9. 其他*.txt或*.md说明文件。这些文件可能会暴露一定的系统信息,建议删除。
10. PHP以外的脚本或可执行文件。如*.sh、*.bat、*.exe等,存在执行漏洞风险,需删除。
11. 其他无用文件夹与文件。如dede/tpl、dede/templets的历史模板文件夹等,建议删除。
12. 备份文件或日志文件。这些文件也可能包含敏感信息,建议定期删除。
此外,对于需要保留但包含敏感信息的文件,也可以通过修改文件名或文件权限的方式来提高安全性,加大破解难度。可以将文件改名,或修改文件权限为不可读。
文件删除或重命名后,可能会导致织梦CMS某些功能失效,需要进入后台对应设置禁用这些功能。如删除install.php后需禁用升级功能等。
织梦CMS作为开源软件,源码结构比较开放,这也意味着存在一定的安全隐患。采取删减文件与加强文件安全性的措施,可以较好地防止未知漏洞被利用,最大限度保证系统的稳定性与安全。定期对文件与权限进行审查,也是管理员应尽的义务之一。
网站安全需要全方位考量,源头策略最为关键。对开源CMS软件,文件操控与管理就是其中重要的一环。
