DedeCMS 目录禁 PHP:宝塔 nginx 完整方案
织梦 DedeCMS 站点为什么三天两头被挂马?保哥用 nginx 一段 location 配置把 uploads/templets/images/data 等目录的 PHP 解析全部拒绝,挡住 80% 的 webshell 攻击;附 Apache .htaccess 等效配置、文件权限、加固清单、被攻击后应急处置流程。
标签
DedeCMS安全
保哥笔记 DedeCMS安全 标签下共 5 篇文章合集,含《DedeCMS 目录禁 PHP:宝塔 nginx 完》《织梦dedecms自定义表单验证:手机号+IP+防重》《织梦CSRF Cookie泄漏SQL注入漏洞修复实战》等,与 目录权限、SQL注入、Nginx配置 主题密切相关,覆盖 SEO/GEO 实战角度的深度解析与可落地方案。
-
-
织梦dedecms自定义表单验证:手机号+IP+防重复实战
织梦DedeCMS自定义表单加上手机号正则、IP抓取、提交时间、来源URL、Cookie防重复5项验证,并补强后端数据库强校验、CF Turnstile与蜜罐反垃圾。本文给出正确的执行顺序、踩过的Cookie过期时间溢出坑、Cloudflare真实IP取法,以及某B2B站30天有效率从7.96%升到71.23%的实测数据。
-
织梦CSRF Cookie泄漏SQL注入漏洞修复实战
DedeCMS的inc_archives_functions.php第239行用md5加cfg_cookie_encode生成的dede_fieldshash因为算法可逆形同虚设,攻击者从前台公开页面就能反推出会员加密密钥并打通SQL注入。本文给出从断网取证到代码修复、再到收尾清单的完整实战方案,含5个真实踩坑记录与长期迁移决策建议。
-
禁用目录PHP执行权限:5种服务器加固方案
PHP类CMS被挂马的核心入侵路径是任意文件上传加目录可执行的组合拳。本文给出.htaccess、Apache vhost、Nginx、IIS、宝塔面板五条主流加固方案,覆盖uploads与data与templets与cache等典型目录的php、phtml、phar全套扩展名拦截,含双扩展名兜底、五个真实踩坑记录与命令行验证流程。
-
DedeCMS 后台验证码错误终极排查指南:从 GD 库到 sessions_xxx 升级残留全覆盖
DedeCMS 后台验证码不显示或永远输错,背后可能是 GD 缺失、data/sessions 目录权限错、cfg_domain_cookie 改动残留多个 sessions_xxx 目录、PHPSESSID cookie 跨域丢失。本文按图片不显示、提交错、版本兼容三类故障分别给出排查命令与修复代码,覆盖织梦 5.7 各 SP 版本与 PHP 7+ 环境。
26 分钟阅读 DedeCMS验证码 DedeCMS安全 session权限