織夢（dedecms）網站安全防禦防止被黑技巧

做者：惟獨是你
連接：https://zhuanlan.zhihu.com/p/22101340
來源：知乎
著做權歸做者全部。商業轉載請聯繫做者得到受權，非商業轉載請註明出處。

目前織夢是企業建站用得比較多的一個CMS系統，可是織夢的安全性又讓不少企業望而止步。其實，只要作好網站安全防禦工做，根本不用擔憂網站被黑。

下面我將分站外和站內兩個部分來說解防止織夢（dedecms）網站被黑的技巧：

1、網站站外安全防禦，主要是域名和空間（服務器）的安全

一、域名。域名是網站的入口之一，也是網站被黑的一個切入口，若是域名出了問題，網站就不能打開了。那麼怎麼保證域名的安全呢？

（1）選擇正規靠譜的註冊商

（2）域名註冊的信息務必如實填寫

（3）儘可能使用域名商提供的正規DNS解析，慎用免費DNS解析

二、空間服務器安全措施

（1）安全組合：安全狗(服務器及網站防禦)+百度雲加速(WEB常規防禦和訪問加速)+百度雲觀測（網站安全預警和平常監測）

（2）使用雲防禦工具：建議選擇百度雲加速

（3）經過ftp來上傳、維護網頁，儘可能不安裝asp的上傳程序

（4）平常要多維護，並注意空間中是否有來歷不明的文件

2、網站站內安全防禦

一、修改織夢默認的後臺目錄文件夾（dede）的名稱，能夠修改成其餘的字母或字母與數字色組合（好比chaoyongseo），修改後網站後臺的登錄地址爲：域名/chaoyongseo

二、若是網站用不到會員等功能的話的話，建議刪除member、install、special文件夾

三、data/common.inc.php數據庫鏈接文件 禁止寫入與執行，只容許讀取模板

四、將/data/文件夾移到Web訪問目錄外，這條是dedecms官方建議，具體操做方法以下：

（1） 將/data/文件夾移至web根目錄的上一級目錄

（2）修改/include/common.inc.php中DEDEDATA變量，將：define('DEDEDATA',DEDEROOT.'/data'); 改成define('DEDEDATA',DEDEROOT.'/../data');

（3）修改/index.php，刪除以下代碼（注：如首頁生成靜態且index.html索引優先於index.php可忽略此條修改。）：

if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))

{

header('Location:install/index.php');

exit();

}

（4）配置tplcache緩存文件目錄：登錄後臺 > 系統 > 系統基本參數> 性能選項，將模板緩存目錄值改成/../data/tplcache

五、include和plus 文件夾禁止寫入

/plus/是dedecms漏洞高發目錄，隱藏/plus/路徑可防範該目錄下文件產生的未知漏洞的利用，如需使用該目錄下某個文件，可在.htaccess中添加相關規則實現白名單功能。

示例：假設plus目錄名修改成/chaoyong/，網站須要使用後臺欄目動態預覽（路徑：http://域名/plus/list.php?tid=欄目編號）和發佈跳轉文章（路徑：http://域名/plus/view.php?aid=文章編號）的功能，則可在.htaccess添加以下代碼：

RewriteEngine On

RewriteCond%{QUERY_STRING} ^tid=(\d+)

RewriteRule^plus/list.php$ /chaoyong/list.php$1 [L]

RewriteCond%{QUERY_STRING} ^aid=(\d+)

RewriteRule^plus/view.php$ /chaoyong/view.php$1 [L]

六、注意網站備份，包括網站文件的備份和數據庫的備份。

網站文件的備份能夠到空間服務器管理後臺，使用文件壓縮功能，把網站整站壓縮了，而後經過FTP工具下載下來；

數據庫備份須要登陸網站管理後臺，打開「系統-數據庫備份/還原」，點擊「提交」便可。

（來源：織夢（dedecms）網站安全防禦防止被黑技巧）