DeDeCMS后台安全性讨论

很多人都说DeDeCMS不安全，但大多数人都没想过为什么DeDeCMS不安全？安全不是绝对的，站长在安全方面必须要有思考。下面说一些影响网站安全的行为和操作。...

DeDeCMS安全性考虑不周，主要是没考虑到很多小白站长，一些小白站长的操作就是第六人般的存在，帮助骇客黑自己。如果站长在网站安全性上有考虑，基本就可以避免一些因为低级行为而导致的安全问题。我就拿dedecms网站后台来说一下安全问题。

网站后台被搜索引擎收录


对，没错。很多网站后台操作人员，在不经意间就把自己网站后台贴到前端显示出来了，而且还被蜘蛛收录了。这个问题对于公司最常见，很多人同时使用一个后台：①编辑为了给文章添加一张图片，把网站后台的预览地址贴了上去。②编辑为了加个链接，把后台文章的管理路径贴上去了。③在网站前端页面添加后台登录地址。
处理方法：1.在服务器端对管理后台做访问限制，蜘蛛访问后台路径，返回404。2.如果公司是专线独立IP，可以对IP做访问限制。3.修改默认管理后台标题“xxx内容管理系统”，即使被收录，如果收录量大骇客也不一定能找到后台。4.不在任何位置泄露网站的后台地址。

网站后台出站链接问题


很多人看来，这没什么问题。其实这里暗藏非常大的危机，这里是暴露网站管理后台的重要地方。这些出站链接形式包括：①直接链接外网站点。②调用外网的资源。③加载第三方广告、统计。④自动更新功能。⑤后台插件功能。写到这里，可能大家都知道了，你的网站后台dede官方是知道的。你应该还知道，dede官方更新服务器曾经被黑过。具体说下这些链接为什么会有泄漏网站后台的风险，一旦网站后台触发访问站外，就会留下一个http Referer头信息，这里面就会包含你的管理后台路径。上面这几种情况，除第①种需要点击触发之外，其他都是默认触发的。所以可见dedecms的后台管理路径是多么的脆弱。这个问题不只是dedecms存在，基本所有的web端管理后台，都有这样的问题。
处理方法：1.禁止任何通过管理后台直接请求外网的行为。2.条件允许的情况下，对访问后台的IP做限制。3.如果非要请求外网，先过滤掉影响网站安全的数据。4.用插件前，先按照上面几点，排查下是否有请求外网数据的可能。

浏览器历史记录泄漏网站后台


这个很好理解了，主要是在别人的电脑上使用网站管理后台的时候需要注意。所以如果在不得已需要在别人电脑上登录网站管理后台的时候，退出之后，需要对浏览器进行清空缓存操作。

写在最后


看似安全的web后台，原来到处都是风险。所以安全行为很重要，也要很小心。关于dedecms安全性问题，我之前做了一些工作《DeDeCMS PHP7.0+环境支持及DeDeCMS安全脚本》，虽然织梦官方已经放出了php7.0的兼容性支持，但是对于有二次开发多的，php兼容性排查还是有价值的，而且此方案的一些安全脚本和操作，是很有价值的。