织梦网站安全防护

摘要：虽然织梦搭建的网站功能强大，倍受广大网站搭建者们的喜欢，但是织梦程序存在一些漏洞，会给我们的网站带来安全隐患，在用织梦建站的时候一

虽然织梦搭建的网站功能强大，倍受广大网站搭建者们的喜欢，但是织梦程序存在一些漏洞，会给我们的网站带来安全隐患，在用织梦建站的时候一定要做好安全防范。

织梦安装时注意：

修改默认数据库前缀：

在dedecms安装的时候修改下数据库的表前缀，尽量不用默认的前缀dede_ ,随便改个其他的英文字母小写命名即可。以防止黑客猜到。

安装后去除所有再带后门和漏洞

1.修改默认后台路径：

作用：是防止黑客猜到你的后台，进行其他操作。
进入网站根目录，就能看到dede文件夹，重命名即可。比如改为lisanbao
这个时候访问后台就
不是：
你的域名/dede
例如：lishanbao.com/dede

而是：
你网站域名/lisanbao
例如：lisanbao.com/lishanbao

2.搜索"login_ad.htm"文件。

位置“根目录dede后台文件夹templetslogin_ad.htm ”删除如下这一段：

3.搜索"index_body.htm"文件。

位置“根目录dede后台文件夹templetsindex_body.htm” 删除如下这一段：

<iframe frameborder="0" id="showad" marginheight="5" name="showad" scrolling="no" src="index_body.php?dopost=showad" width="100%"></iframe>

4.搜索“module_main.php”文件

文件“根目录dede后台文件夹module_main.php”注释掉这两段，他们会向dedecms官网发送卸载或安装插件的信息，如果你的服务器不是很好，或 不支持采集（下载），那么会卡死！去掉。

321行//    SendData($hash);527行//    SendData($hash,2);

5.搜索"flink.lib.php"文件

文件“根目录includetaglibflink.lib.php”去除从这里开始的这一段，因为如果你的网站空间配置不太好或者甚至不支持采集，那么很可能卡死：

 else if($typeid == 999){}

6.搜索"dedemodule.class.php"文件

文件“根目录includededemodule.class.php”为什么管理模块总是打不开的原因，在于这里，每30分钟向官网检测一次版本，所以你的网站不支持采集或配置太低，卡死！

if(file_exists($cachefile) && (filemtime($cachefile) + 60 * 30) > time()) 修改为 if(file_exists($cachefile) && filesize($cachefile) > 10) 

7.搜索"dedesql.class.php"文件

文件“根目录includededesql.class.php”去掉这一段，他会给网站加友情链接：

$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79); $arrs2 = array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f, 0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72, 0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20, 0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);

　　//特殊操作 　　if(isset($GLOBALS['arrs1'])) 　　{ 　　$v1 = $v2 = ''; 　　for($i=0;isset($arrs1[$i]);$i++) 　　{ 　　$v1 .= chr($arrs1[$i]); 　　} 　　for($i=0;isset($arrs2[$i]);$i++) 　　{ 　　$v2 .= chr($arrs2[$i]); 　　} 　　$GLOBALS[$v1] .= $v2; 　　}

8.修改dede数据存放默认文件夹

修改 data文件夹名称为 data#7080，这一步非常关键。
织梦DEDECMS系统的data目录主要是基本配置文件和缓存数据的文件夹，通常是网站入侵的主要对象。
之后在data#7080 文件夹中加入 .htaccess ，文件内容 deny from all。
之后需要修改首页文件/index.php，全局公用引入文件/include/comm.inc.php ，将/data其中的/data全部替换为 /data#7080。
之后修改整个项目文件中的/data，勾选“匹配整个词语”，替换为 /data#7080。
（注意，如果没有将/include/data 目录改名为 /include/data#7080，那么需要手动检查替换，以免错误）。

删除没有必要的文件以防止攻击

删除 根目录下的 install 文件夹
删除 根目录下的 member文件夹会员功能
删除 根目录下的 plus 文件夹下除 list.php view.php count.php之外的其他所有php文件!
删除 根目录下的 special专题功能
删除 根目录下的 company企业模块

管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
下载发布功能（管理目录下soft__xxx_xxx.php），不用的话可以删掉，这个也比较容易上传小马的。

进入后台进行安全操作

后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

其他注意事项

1、多关注dedecms官方发布的安全补丁，及时打上补丁。
2、DedeCms官网出的万能安全防护代码，我发在文章后面，官网的要会员才能看.
3、最安全的方式：本地发布html，然后上传到空间。不包含任何动态内容，理论上最安全，不过维护相对来说比较麻烦。
4、还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉。所以还得记得时常备份数据.
5、将一些目录禁止执行脚本，例如 uploads、静态生成目录等
6、对于后台需要执行的php目录，设置禁止网站匿名用户，具有写入权限。