兄弟,看到你问这个我肝儿颤。真的,不是不告诉你,是怕你重蹈我的覆辙。
这破系统都多久没正经更新了?现在还用它的,要么是情怀老站长缝缝补补,要么就是纯纯的勇士。你还想用插件?知道那些号称“一键采集”、“全自动伪原创”、“秒收推送”的插件都是什么成分吗?十个里面有九个半带后门!我当年就是图省事,在一个野鸡源码站下了个“强力SEO优化插件”,好家伙,传上去倒是挺简单,后台模块管理里点个在线安装就完事儿了,功能看起来花里胡哨的。结果呢?三天后,凌晨四点手机邮箱叮叮当当响个不停,服务器商发来的报警邮件,说我的服务器在疯狂对外发送垃圾邮件和扫描端口,CPU直接100%飙红。我连滚带爬用FTP连上去一看,全站被插了暗链,数据库用户表被清空了,模板文件里被写进去一堆加密的eval函数。那一刻我盯着屏幕,真的,想死的心都有。我那会儿还在用那套老掉牙的采集+快排手法,本来权重就摇摇欲坠,这一下直接被K得毛都不剩,连百度站长平台都给我标红了。抽了半包烟才冷静下来开始收拾残局。
所以,如果你非要头铁用,听我一句劝:
1. 源头!源头!源头! 插件从哪儿下?绝对不要信任何非官方的破解版、增强版。去DedeCMS官方论坛(如果还在的话)或者找几个十几年信誉的老牌技术站,看看作者是不是还在活跃。那种2015年就没更新过的插件,你敢用?
2. 安装前先“尸检”。 拿到插件压缩包,别急着上传。本地解压,用代码编辑器或者安全软件扫一遍PHP文件,重点看有没有 base64_decode、eval(、assert( 这种高危函数,还有有没有链接奇怪的外域地址。这是保命的基本操作。
3. 后台安装都是虚的,手动上传才是王道。 别用那个“在线安装/模块管理”,鬼知道它执行了什么。自己用FTP,把插件文件老老实实传到对应的/plugins/ 或者模块目录下,然后根据说明文档(如果有的话)手动执行SQL或者修改菜单。虽然麻烦,但每一步你都清楚。
4. 权限!权限!权限! 安装完,检查一下插件生成的目录和文件权限是不是755,有没有什么文件被设成了777(全世界可读写),这简直是给黑客发请柬。
说真的,与其研究这个古董系统的插件怎么用,不如想想怎么把数据迁移出来。WordPress或者现在那些轻量的CMS不香吗?生态健康,更新及时。DedeCMS的辉煌早过去了,现在就是个满是窟窿的靶子。你每装一个来路不明的插件,就等于在自己网站的围墙上又主动凿开一个洞,还插个牌子写上“欢迎光临”。我那次的教训就是,所谓的“便捷功能”,代价可能是整个站和你几个月甚至几年的心血。如果真遇到非用不可的插件,先去问问那些真被坑过的老哥,看看有没有前车之鉴。
记住,在DedeCMS的世界里,“不用”是最好的插件。保重。
