seo技術

織夢CMS網站安全設置教程,做好這些織夢安全翻三

dedecms程序非常簡單易用，也是國內被使用最多的一套開源cms程序，10個企業站里面7個都是dede。但是經常用織夢的朋友都知道，織夢CMS網站安全系數很低，總是容易被掛馬，雖然說不能完完全全解決這個問題，但是我們可以減低被掛馬的幾率，所以一起來看看今天諸城人家SEO博客分享的文章：織夢CMS網站安全設置教程,做好這些織夢安全系數翻一倍

另：dede網站被掛馬參考《》

只說一遍：對照本文刪改前請做好相應備份?。?！

1.修改默認后臺目錄

dedecms網站默認的管理后臺是/dede，可以換成其他名稱，建議使用中文英文數字結合。

2.刪除默認管理員賬號admin

（1）新建管理員賬戶：

點擊系統-系統用戶管理-增加管理員，填寫登錄賬戶及密碼等信息，用戶組選擇超級管理員（也可以不用刪，直接到數據庫中改名）

（2）刪除默認的admin用戶：

點擊系統-SQL命令行工具，運行SQL命令：delete from dede_admin where id = 1;

3.刪除根目錄下多余的文件

（1）install文件夾：安裝目錄，安裝完之后這個文件夾就沒用了，整個刪除。

（2）member文件夾：會員功能，若你的網站沒有不需要用到會員，請刪除。

（3）special文件夾：專題功能，若網站沒用到專題功能，請刪除

（4）tags.php文件，如果網站沒用tag標簽功能可刪除

4.刪除plus中無用的文件

dedecms根目錄下的plus文件中的文件，建議保留：/img/文件夾、ad_js.php，count.php，diy.php，list.php，search.php，view.php這幾個即可，其余可以刪除。

織夢根目錄下plus目錄及文件相關功能如下表（*代表所有）：

文件名

功能

是否刪除

/plus/guestbook文件夾

留言板

刪除

/plus/img/文件夾

圖片

可刪除

/plus/task/文件夾

計劃任務

刪除

/plus/ad_js.php

調用廣告，企業站可以刪除

保留

/plus/advancedsearch.php

/plus/heightsearch.php

高級搜索

(一般只用到search.php)

刪除

/plus/arcmulti.php

異步方式調用指定的tag列表

刪除

/plus/bookfeedback.php

/plus/bookfeedback_js.php

圖書評論和評論調用文件

(存在注入漏洞風險)

刪除

/plus/car.php

/plus/posttocar.php

/plus/carbuyaction.php

購物車

刪除

/plus/comments_frame.php

調用評論(存在安全漏洞)

不用系統自帶評論的可以刪除

刪除

/plus/count.php

閱讀次數統計

保留

/plus/digg_*.php

文章的頂踩功能

刪除

/plus/disdls.php

/plus/download.php

下載次數統計/下載功能

刪除

/plus/diy.php

自定義表單

保留

/plus/erraddsave.php

文章糾錯

刪除

/plus/feedback.php

/plus/feedback_*.php

評論相關功能

(不用站內評論的可以刪除)

刪除

/plus/flink.php

/plus/flink_add.php

友情鏈接添加

刪除

/plus/freelist.php

自由列表

刪除

/plus/guestbook.php

留言

刪除

/plus/list.php

動態瀏覽欄目頁

保留

/plus/mytag_js.php

自定義標簽js調用方式

刪除

/plus/qrcode.php

生成二維碼

刪除

/plus/recommend.php

信息推薦

刪除

/plus/rss.php

RSS列表頁

刪除

/plus/search.php

搜索

保留

/plus/stow.php

收藏文章

刪除

/plus/task.php

計劃控制文件

刪除

/plus/view.php

動態瀏覽文章

保留

/plus/vote.php

投票

刪除

還需要刪除一些功能，比如文件管理（這個文件管理器可以輕而易舉的上傳編寫好的程序木馬）、SQL命令等都需要刪除（其實可以改后綴，下次自己要用的時候再改回來）。

5.刪除后臺（dede目錄）不必要的功能

dede目錄下可以刪除的文件，我同樣羅列一個表格出來給大家對照（*代表所有）：

PS：可以刪除文件需要用的時候再上傳，仔細對照哪些功能有用，也可以改名例如/dede/tpl文件上傳.php

文件名

功能

是否刪除

/dede/ad_*.php

廣告管理添加/刪除文件，

企業站一般用不到

可刪除

/dede/cards_*.php

點卡功能功能

可刪除

/dede/co_*.php

采集控制文件

可刪除

/dede/erraddsave.php

糾錯功能功能

可刪除

/dede/feedback_*.php

評論管理功能

可刪除

/dede/file_*.php

文件式管理器功能，易被掛馬

可刪除

/dede/group_*.php

圈子功能，幾乎用不到

可刪除

/dede/media_*.php

附件數據管理功能文件，易被掛馬

可刪除

/dede/module_*.php

上傳/安裝/管理模塊；

先卸載無用模塊再刪除該功能

可刪除

/dede/mytag_*.php

/dede/mytag_tag_*.php

自定義標記管理，

易被上傳一句話木馬

可刪除

/dede/spec_*.php

專題管理功能，沒有專題頁面

可刪除

/dede/story_*.php

小說功能功能

可刪除

/dede/sys_sql_query.php

SQL命令運行器，易被注入木馬

可刪除

/dede/templets_*.php

模板管理功能，可以使用FTP管理

可刪除

/dede/tpl.php

文件上傳/管理系統文件，易被掛馬

可刪除

/dede/vote_*.php

投票功能

可刪除

dede目錄中可以刪除的文件都列在上面表格了，各位可以對比自己的網站，用不到的就刪除或者改名即可。

6.禁止目錄的php執行權限

以下（本文步驟6）內容未經過諸城人家實際測試，自行測試，其實只要做到上面說的，就已經很安全了，小站點沒人有那么多心思研究你的！

（1） Linux系統的用戶通常是apache環境，可以利用文件來禁止php執行權限，在網站根目錄新建.htaccess復制以下代碼添加進去（如果已有.htaccess文件就直接復制就可以），傳到網站根目錄即可。PS：其他文件可以自己對比加上。

RewriteEngine on

#安全設置 禁止以下目錄運行指定php腳本

RewriteCond?%?!^$

RewriteRule a/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule imges/(.*).(php)$ – [F]

RewriteRule css/(.*).(php)$ – [F]

RewriteRule js/(.*).(php)$ – [F]

RewriteRule style/(.*).(php)$ – [F]

RewriteRule skin/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php|htm)$ – [F]

RewriteRule uploads/(.*).(php)$ – [F]

（2）windows系統的用戶通常都是IIS7、IIS8環境，可以利用web.config文件來禁止php執行權限（需要主機支持偽靜態），在網站根目錄建立web.config文件，再將以下代碼復制到進去即可。PS：這里我就是簡單的復制了兩個文件夾的，其他文件夾可以自行增加。

rule?name="Block?data"?stopProcessing="true"

match url="^data/(.*).php$" /

conditions logicalGrouping="MatchAny"

add input="{USER_AGENT}" pattern="data" /

add input="{REMOTE_ADDR}" pattern="" /

/conditions action type="AbortRequest" /

/rule

rule name="Block templets" stopProcessing="true"

match url="^templets/(.*).php$" /

conditions logicalGrouping="MatchAny"

add input="{USER_AGENT}" pattern="templets" /

add input="{REMOTE_ADDR}" pattern="" /

/conditions action type="AbortRequest" /

/rule

以上6個步驟都已經逐一完成之后，那么恭喜大家，你們的織夢網站安全系數已經可以達到70%的了，一般不容易被入侵了，這篇文章是織夢的基礎安全設置，還有官方要求將織夢data遷移，除此之外就是定期打補丁，程序出現bug，官方更新之后，你就需要立馬打補丁，本次分享的織夢cms網站安全設置教程到此結束！

- END -

瀏覽完了？你可以留下觀點！