dedeCMS織夢后臺管理系統(tǒng)的基礎(chǔ)安全設(shè)置指南

時間：2022-05-26 00:30:01 | 來源：網(wǎng)絡(luò)營銷

時間：2022-05-26 00:30:01 來源：網(wǎng)絡(luò)營銷

網(wǎng)上有很多CMS開源程序，很多站長也都用到DEDECMS，我也使用過，后來經(jīng)常被掛馬，不過排名效果還是不錯的，至少對百度的收錄和排名都比較友好。其實任何一款開源程序都存在或多或少的漏洞，只是沒被別人發(fā)現(xiàn)而已。自己不能開發(fā)這么強大的系統(tǒng)，只能拿現(xiàn)成的來改了。很多所謂的“黑客”都是用工具來掃描入侵，厲害點的人是不屑來黑我們的小網(wǎng)站的，所以我們一般做好安全防護就可以了。

很多安裝了織夢的朋友，對織夢的安全都很煩惱，經(jīng)常遭遇掛馬，被掛暗鏈等事情，億企邦也遇到過，相信很多喜歡使用DedeCms建站的站長朋友來說，自己辛辛苦苦做的網(wǎng)站及SEO，安全措施沒到位，一不小心被入侵了，排名掉了，流量被劫持了，那真叫心痛呀！因此，對網(wǎng)站做好安全防護，真的很有這個必要。

今天通過百度搜索，總結(jié)了一些提升織夢安全性的辦法，通過以下設(shè)置可以顯著的提高織夢的安全性。只要完成基礎(chǔ)篇的設(shè)置，那么恭喜你，你的織夢安全已經(jīng)及格了，相反，如果你沒有按照基礎(chǔ)篇的做，那么你的網(wǎng)站岌岌可危。

1、刪除不必要的目錄

安裝好織夢后，需要立即刪除install目錄，如果不需要使用會員、專題（99%的用戶都用不到），可以直接刪除member、special目錄（具體可查看億企邦《織夢dedeCMS系統(tǒng)的核心程序目錄及數(shù)據(jù)結(jié)構(gòu)表》的相關(guān)介紹）。

可以刪除一些目錄：member會員功能；special專題功能；company企業(yè)模塊；plus/guestbook留言板。

2、刪除不必要的文件

以下是可以刪除的文件，管理目錄下的這些文件是后臺文件管理器，屬于多余功能，而且最影響安全：

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。

不需要tag功能請將根目錄下的tag.php刪除。

不需要頂客請將根目錄下的digg.php與diggindex.php刪除。

plus文件建議只保留如下文件：ad_js.php，count.php，list.php，search.php，view.php，其余的刪除。

plus文件夾中的文件功能如下表，如果沒用到可以刪除。

另外，下載發(fā)布功能（管理目錄下soft__xxx_xxx.php），不用的話可以刪掉，這個也比較容易上傳木馬文件。

3、修改默認后臺文件夾名稱

默認的后臺通過域名/dede訪問，請修改為其他名稱，越不容易被猜出來越好，可以使用英文+數(shù)字等形式。

將dedecms后臺管理默認目錄名dede改掉，修改方式為直接重命名dede文件夾的名稱即可。

4、后臺新建新的管理員賬戶，刪除默認的admin用戶

（1）、新建管理員賬戶

點擊系統(tǒng)->系統(tǒng)用戶管理->增加管理員，填寫登錄賬戶及密碼等信息，用戶組選擇‘超級管理員’。

（2）、刪除默認的admin用戶

點擊系統(tǒng)->SQL命令行工具，運行SQL命令：delete from dede_admin where id = 1;

5、關(guān)閉多余的功能

用不到的功能一概關(guān)閉，比如會員、評論等，如果沒有必要通通在后臺關(guān)閉。

6、遷移data目錄到web目錄外

data目錄存在比較嚴重的安全隱患，很有必要將data目錄移動到站點目錄以外（具體遷移辦法可以查看億企邦《安全正確轉(zhuǎn)移網(wǎng)站data目錄文件的具體方法步驟》的相關(guān)介紹）。

實在沒有條件遷移到站外的同學(xué)，也請一定要將data目錄改一個名字。

7、修改數(shù)據(jù)庫的表前綴

安裝的時候數(shù)據(jù)庫的表前綴，最好改一下，不用dedecms默認的前綴dede_，可以改成ljs_，隨便一個名稱即可。

8、修改admin賬號

后臺登錄開啟驗證碼功能，將默認管理員admin刪除，改成一個自己專用的，復(fù)雜點的賬號（具體可查看億企邦《修改網(wǎng)站后臺管理員用戶名admin的具體操作方法匯總》的相關(guān)介紹）。

9、DedeCms官網(wǎng)出的萬能安全防護代碼

為了讓大家的CMS更安全，有需要的手工在config_base.php里加上

打開config_base.php，找到：

//禁止用戶提交某些特殊變量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
}
}

改為下面代碼：

//把get、post、cookie里的<? 替換成 <?
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
//檢測上傳的文件中是否有PHP代碼，有直接退出處理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},'r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!='' && ereg("</?",$fstr)){
echo "你上傳的文件中含有危險內(nèi)容，程序終止處理！";
exit();
}
}
}

另外，就需要大家多關(guān)注dedecms官方發(fā)布的安全補丁，及時打上安全補丁。

10、最安全的方式

本地發(fā)布html，然后上傳到網(wǎng)站空間。不包含任何動態(tài)內(nèi)容，理論上是最安全的，不過，維護相對來說比較麻煩，文章更新也不方便。

億企邦點評：

雖然，我們已經(jīng)做了一些安全配置，但還是得經(jīng)常檢查自己的網(wǎng)站，被掛黑鏈是小事，被掛木馬或刪程序就很慘了，運氣不好的話，排名也會跟著掉，所以還得記得時常備份數(shù)據(jù)。