Dede作為國內(nèi)一套比較優(yōu)秀的cms，深受眾多站長的喜愛，dede的簡單、便捷、易上手，許多人把dede（織夢內(nèi)容管理系統(tǒng)）作為建站的首選，正是因為如此用的人越多，安全問題就越多，因為這套cms已經(jīng)被人研究透徹了。為了防范別人的入侵，我們應該做好網(wǎng)站的安全防范措施。具體怎么做類？您在閱讀本文之前，我相信，您肯定也在網(wǎng)上找了許多類似這樣的教程看了，那么，請你繼續(xù)閱讀這篇，無憂主機（www.gle-technology.com）小編們在日常維護中總結(jié)的對dede掛馬、dedecms旁注、dedecms注入等安全設置的經(jīng)驗，針對性一些經(jīng)過我們實驗、確實可行的dedecms網(wǎng)站安全加固措施，以下幾個方面是防止dedecms網(wǎng)站掛馬方法，詳細部署請帶著您的問題仔細往下看：

一 、網(wǎng)站安全第一道防線——網(wǎng)站管理員口令。

密碼，密碼，這個在任何地方、任何人都會說的一個問題，無憂主機（www.gle-technology.com）小編這里，依然再次強調(diào)，請你使用強壯密碼，請您重視它，否則您將受到懲戒。我們都知道，dedecms內(nèi)容管理系統(tǒng)的管理員密碼是通過MD5加密的，你知道，別人也知道。簡單的md5字符串是很容易破解的，所以網(wǎng)站的密碼一定要設置足夠強壯，數(shù)字、字母、特殊符號組合10位以上，這樣即便網(wǎng)站管理員口令被強制“爆破”，這也給別人破解md5密碼加密增加難度。

二 、刪除多余組件, 避免被hack木馬注入（非常重要)

在服務器安全策略配置中，有一條原則：“最小權(quán)限運行，就是最大的安全保障”，這條規(guī)則，同樣也適用于，指導個人網(wǎng)站安全策略部署，讓你的dedecms最小化運行吧，也就是自己用什么功能就、安裝什么功能，不要的統(tǒng)統(tǒng)刪除。在dedecms中表現(xiàn)如下五個形式，請你根據(jù)無憂主機（www.gle-technology.com）的指導，參考配置：

1、dedecms（織夢內(nèi)容管理系統(tǒng)）安裝完畢后，把install文件刪除掉，把后臺目錄直接改名dede改名。如果你不會做？請你詳細操作指導教程：無憂主機教你如何修改織夢CMS（DEDE)管理員后臺登錄路徑

2、不需要的功能可以去掉，比如很多站長根本用不到會員系統(tǒng)的功能，那我們就把member這個目錄刪掉，防止hack爆庫，還有special,?plus\guestbook留言板都是可以刪除的。將每個目錄添加空的index.html，防止目錄被訪問。

3、dede管理目錄下的：

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

這些文件是后臺文件管理器，無憂主機（www.gle-technology.com）任務這個功能最多余，也最影響安全，許多hack都是通過它來掛馬的。它簡直就是小型掛馬器，上傳編輯木馬太方便了。一般用不上請統(tǒng)統(tǒng)刪除。

4、SQL命令運行器，不是人人都用的上，強烈建議刪除它。刪除方法：刪除dede/sys_sql_query.php 這個文件即可。避免HACK利用，sql執(zhí)行語句是非常危險的，如果你要使用，建議您使用無憂主機提高的安全的phpmyadmin工具執(zhí)行sql命令。

5、tag功能和頂客功能的，請你刪除網(wǎng)站根目錄（public_html）tag.php和、digg.php和diggindex.php。

三、防止hack利用發(fā)布文檔上傳木馬

Dedecms 的Include目錄是黑客同志們非常喜歡的一個目錄，小編在日常維護中，發(fā)現(xiàn)大約有60%的dedecms網(wǎng)站的木馬都是被掛在include下面的，請您務必仔細閱讀如下內(nèi)容： 在include目錄下面找到config_base.php，下載到本地電腦，使用文本編輯器 打開找到： Copy code//禁止用戶提交某些特殊變量 $ckvs = Array('_GET','_POST','_COOKIE','_FILES'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]); } } 改為下面代碼 Copy code//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(!empty($value)){ ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value); ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]); } if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]); } } //檢測上傳的文件中是否有PHP代碼，有直接退出處理 if (is_array($_FILES)) { foreach($_FILES AS $name => $value){ ${$name} = $value['tmp_name']; $fp = @fopen(${$name},'r'); $fstr = @fread($fp,filesize(${$name})); @fclose($fp); if($fstr!='' && ereg("<\?",$fstr)){ echo "你上傳的文件中含有危險內(nèi)容，程序終止處理!"; exit(); } } } 四、嚴防死守網(wǎng)站目錄權(quán)限的設置，刪除php執(zhí)行權(quán)限，拒絕防止木馬的執(zhí)行 首先，無憂主機（www.gle-technology.com）要告訴大家，無憂主機的所有php虛擬主機都是純linux環(huán)境下的空間，那么，您可以自動自定義站點目錄下的文件夾和文件權(quán)限，建議你先閱讀“linux虛擬主機,linux空間站點目錄權(quán)限設置高級篇”了解下linux權(quán)限設置方面的知識，這會讓你少走彎路。 無憂主機不建議用戶把欄目目錄設置在根目錄， 原因：這樣進行安全設置會十分的麻煩。在默認的情況下，安裝完成后，目錄設置如下： 1、data、templets、uploads、a或5.3的html目錄， 設置可讀寫，不可執(zhí)行的權(quán)限； 2、不需要專題的，建議刪除 special 目錄， 需要可以在生成HTML后，刪除 special/index.php 然后把這目錄設置為可讀寫，不可執(zhí)行的權(quán)限； 3、 include、member、plus、后臺管理目錄 設置為可執(zhí)行腳本，可讀，但不可寫入（安裝了附加模塊的，book、ask、company、group 目錄同樣如此設置）。 4、刪除目錄php執(zhí)行權(quán)限。這個是dedecms官方強烈推薦的安全防范措施，請你務必重視，實現(xiàn)方法見：無憂主機教你DEDECMS V5.7SP1取消PHP空間目錄腳本執(zhí)行權(quán)限 無憂主機（www.gle-technology.com）我用自己的一句話概括這樣的設置是：所有能夠執(zhí)行腳本的文件只能讀，不能寫，能夠?qū)懭氲奈募s不能執(zhí)行腳本，這樣做的效果是盡可能的做到最嚴密的設置。至于設置的權(quán)限的方法在ftp工具上右擊“屬性”即可設置。關(guān)于權(quán)限，無憂主機（www.gle-technology.com）系列免被備案php虛擬主機都已經(jīng)做好策略，請您安裝的時候默認權(quán)限即可，請不要隨意改動默認權(quán)限，目錄默認權(quán)限：文件夾755，單個文件644。 五、定期掃描病毒， 利用Dede管理員后臺有個病毒掃描的功能，我們可以定期對整站進行掃描，遇到可疑文件立即進行處理。還有就是經(jīng)常更新官方的漏洞補丁。把以上做好，dede的大部分安全隱患都可以去除! 更多關(guān)于dedecmns網(wǎng)站安全設置的參考教程，強烈推薦您閱讀： 無憂主機總結(jié)：如何排查DEDECMS入侵和掛馬的經(jīng)驗

加強DEDECMS目錄權(quán)限設置抵御入侵威脅

純Linux環(huán)境下高端免備案【香港獨立IP地址】 php空間，僅僅只需199元一年起。商務中國域名核心代理直銷50元注冊國際頂級域名

本文地址：http://www.gle-technology.com/dedecms/6915.html

上一篇: 無憂主機原創(chuàng)：WordPress程序中MO Widgets插件的使用說明
下一篇: 無憂主機原創(chuàng)drupal官方技術(shù)文檔翻譯：解決 drupal訪問白屏（訪問空白頁面）