一、程序一定要从织梦官网下载,其他地方下载的不能保证安全。
二、下载后的程序在正常运行后,要删除下列文件夹(根据你的需要选择删除)。
- member 会员文件夹整个删除
- special 专题文件夹整个删除
- install 安装文件夹整个删除
- robots.txt 文件删除
- 删除 /templets/default 官方默认模板这个文件夹(在你自己有模板的情况下,如果没有,请勿删除)
- 删除PLUS文件夹除下列文件外的所有文件,保留下面几个文件。
- /plus/img (文件夹)
- /plus/count.php
- /plus/diy.php
- /plus/list.php
- /plus/search.php
- /plus/view.php
三、修改默认后台管理目录名称,安装时不要用默认的admin当管理员帐号及密码。
四、修复刚刚下载的织梦最新程序包里已知漏洞
打开 /include/dialog/select_soft_post.php
搜索
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); }
打开 /dede/media_add.php 找到(dede是你网站管理后台目录名称)
$fullfilename = $cfg_basedir.$filename;
在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ ShowMsg("你指定的文件名被系统禁止!",'java script:;'); exit(); }