dedeampz安全性设置教程

dede是一个非常好的CMS程序，简单容易用，造福了许许多多中小站长。

Dede的安全问题一直使人质疑，我曾经去华夏名网买虚拟空间，就不让人就dede。

可能以前出现过不少网站被挂黑链或木马的问题吧。

但是我想只要你按照官方的安全设置做好，一般黑客不会闲的蛋疼地去黑你。

倘若你自己连dede 文件名都不改，被黑只是时间问题。

Windows 的安全设置地球人都知道，但是官方给出的Linux的设置不清不楚，曾经看到天涯有个专门讲Linux的文章，可惜图片打不开，而且都是几年前的帖子了，似乎有点陈旧。

目前大部分主机商提供的后台控制面板都可以可视化的任意修改Linux系统下文件的权限，无需去修改代码了。

先说说Linux的安全权限基本概念：读权限R。

简单的说就是打开文件查看内容的权限，在web服务器中，若文件没有打开权限，则web服务器则视为该文件不存在，发送404 file not found错误,用数字4表示。

写权限W。

一个文件若没有写的权限，那么该文件则无法更改，文件夹若没有写权限，则该文件夹下无法创建新文件,用数字2表示。

执行权限X。

程序文件若要执行，必须有执行权限，否则无法执行。

打开一个文件夹也是执行，所以文件夹若没有执行权限，则无法被打开。

用数字1表示。

很多人发现Linux系统按照论坛的安全设置后，登陆后台一片空白，或者访问主站也是一片空白，因为你没有给文件X的权限，所以没法执行。

Linux后台会有3个组，其中一个是用户组，只要给用户组执行的权限就可以后台打开了，其它2个组不要给执行权限，因为没有必要在浏览器中给php文件的执行权限，但是一般的html文件需要给执行权限的，因为需要访问的，但是不要给写入的权限。

我的小站（）。

include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入。

这几个目录一般都没问题，我就不讲了。

我主要讲讲“data、templets、uploads、a或5.3的html目录，设置可读写，不可执行的权限”在Linux环境下如何设置。

dedecms安全配置整理，防止网站被黑由潮.视界（）编辑整理网上有很多CMS开源程序，发现很多朋友或做医院的都用到DEDECMS，之前我也使用过，不过后来被挂过几次马，就觉得DEDE也不什么好，不过做垃圾站的话，排名效果还是不错的，至少对百度的收录和排名都比较友好。

任何一款开源程序都存在或多或少的漏洞，只是没被别人发现而已。

自己不能开发这么强大的系统，只能拿现成的来改了。

很多所谓的“黑客”都是用工具来扫描入侵，厉害点的人是不屑来黑我们的小网站的，所以我们一般做好安全防护就可以了。

以下是我收集整理的内容:第一：安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。

第二：后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

第三：装好程序后务必删除install目录第四：将dedecms后台管理默认目录名dede改掉。

第五：用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

第六：以下一些是可以删除的目录：member会员功能special专题功能company企业模块plus\guestbook留言板第第七：管理地址使用noindex和nofollow标记，防止搜索引擎抓路让一些人通过社工获取管理地址和程序版本号。

以下是可以删除的文件：管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php再有：不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

不需要tag功能请将根目录下的tag.php删除。

不需要顶客请将根目录下的digg.php与diggindex.php删除。

教你如何打造一个安全的dedecms网站Dedecms是我们站长用得最多的建站系统，但是问题漏洞也多，曾经就有一个站把我给害苦了，当时刚入门SEO，备份什么的都还不懂，好不容易辛辛苦苦优化上来的网站，一夜之间就泡汤了，啥都没有了，你们肯定懂我的心情，之后就通过各种查资料，怎么来让织梦系统更安全，你只要做到以下几点，可以保证你的织梦网站不是很牛的人物是不能入侵的。

1、下载最新版的织梦系统无论是什么程序，最新版的都会是最好的，里面打了各种补丁漏洞，最新版的也修复了很多问题，文章排版、图片上传、插件等等。

2、修改程序及目录2.1、这是DedeCMS-V5.7-UTF8的程序目录，可以照我以下方法来设置：安装的时候最好把数据库的前缀名改了，不用dede_的前缀，随便改一个ljh_也行;安装完成，将admin这个改了，改成自己的专用号;安装完成了以后一定要记住把install这个文件夹删除，如果你只是单纯的静态网站，没有会员注册什么的功能，也可以把member 这个目录删除掉;不需要专题的，建议删除 special 目录;如果用不着后台的sqlSQL命令运行器的将dede/sys_sql_query.php 文件删除;不需要tag功能请将根目录下的tag.php删除。

2.2、目录删除完了以后，接着进行设置目录的权限：data、templets、uploads、a的目录，设置可读写，不可执行的权限;2.3、data目录路径更改在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录，基本操作如下：2.3.1、把data目录移动到上级目录，直接剪切过去就行了，然后配置include/common.inc.php中DEDEDATA文件：找到这16行：define('DEDEDATA', DEDEROOT.'/data');替换成：define('DEDEDATA',DEDEROOT.'/../../data');2.3.2、后台设置模板缓存路径：登录到后台，找到：系统-》系统基本参数-》性能选项，修改模板缓存目录：到这里便设置好了data目录。

一、最基本的安全设置：修改dedecms默认后台目录/dede/和修改管理员帐号密码；二、如网站不需要使用会员系统，建议删除/member/文件夹；三、将/data/文件夹移到web访问目录外，这条是dedecms官方建议，具体操作方法如下：1. 将/data/文件夹移至web根目录的上一级目录2. 修改/include/common.inc.php中dededata变量，将：define('dededata', dederoot.'/data'); 改为define('dededata', dederoot.'/../data');3. 修改/index.php，删除如下代码（注：如首页生成静态且index.html索引优先于index.php可忽略此条修改。

）：代码如下:if(!file_exists(dirname(__file__).'/data/common.inc.php')){header('location:install/index.php');exit();}4. 配置tplcache缓存文件目录：登陆后台> 系统> 系统基本参数> 性能选项，将模板缓存目录值改为/../data/tplcache四、/plus/是dedecms漏洞高发目录，隐藏/plus/路径可防范该目录下文件产生的未知漏洞的利用，如需使用该目录下某个文件，可在.htaccess中添加相关规则实现白名单功能。

示例：假设plus目录名修改为/abcd9com/，网站需要使用后台栏目动态预览（路径：http://域名/plus/list.php?tid=栏目编号）和发布跳转文章（路径：http://域名/plus/view.php?aid=文章编号）的功能，则可在.htaccess添加如下代码：代码如下:rewriteengine onrewritecond %{query_string} id=(\d+)rewriterulelus/list.php$ /abcd9com/list.php$1 [l]rewritecond %{qu[标签:内容]。

织梦DedeCMS内容管理系统设置说明作者:admin 时间:2011-06-15 23:01:57 字体:[大中小] 我要投稿建网站：织梦DedeCMS内容管理系统设置说明您当前所在的位置:首页> Dede技巧> 织梦DedeCMS内容管理系统设置说明织梦DedeCMS内容管理系统设置说明站点设置，核心设置，附件设置，会员设置，互动设置，性能选项，其他选项1.1.站点设置站点根网址（cfg_basehost）：网站根节点网址，例如设置，主要用于生成一些超链接中加入站点根网址，例如：百度新闻、站点RSS、系统上传附件等网页主页链接（cfg_indexurl）：用于前台模板调用网站主站连接主页链接名（cfg_indexname）：网站主页的连接名称，默认为“主页”网站名称（cfg_webname）：全局站点的名称，通常显示在网页页面的标题栏部分，默认为“我的网站”文档HTML默认保存路径（cfg_arcdir）：网站生成静态页面HTML存放路径，默认为“/html”，可以根据自己需要进行设置图片/上传文件默认路径（cfg_medias_dir）：网站附件上传默认保存路径，默认为“/uploads”，可以根据自己需要进行修改编辑器(是/否)使用XHTML（cfg_fck_xhtml）：控制网站内容编辑器是否启用XHTML类型的标记，默认是不起用的模板默认风格（cfg_df_style）：默认模板的风格，设置后模板的路径变为“/tremplets/[设置模板风格]”，默认是default，即“/tremplets/default/”网站版权、编译JS等底部调用信息（cfg_powerby）：网站底部版权及js调用信息，一般可以将流量统计代码加入到这里，前台进行调用站点默认关键字（cfg_keywords）：用于显示站点默认关键字，便于SEO，通常显示在首页的<meta>中，可以根据自己需求进行修改站点描述（cfg_description）：用于显示站点默认描述，便于SEO，通常显示在首页的<meta>中，可以根据自己需求进行修改网站备案号（cfg_beian）：用于显示网站备案号的相关内容，可以根据自己需要进行设置1.2.核心设置DedeCms安装目录（cfg_cmspath）：系统默认安装目录，默认如果安装在网站根目录即为空，如果安装在子目录需要对其进行设置，例如“cms”，一般移动网站目录需要对其进行重新设置，并重新生成内容，否则会出现页面无法显示、PHP报错等现象cookie加密码（cfg_cookie_encode）：用于对用户登陆cookie加密设置，默认系统自动生成，通常使用在系统整合等方面数据备份目录（在data目录内）（cfg_backup_dir）：数据库备份文件夹，通常在系统根目录的data文件夹下，默认为backupdata，即在系统“\data\backupdata”文件夹下网站发信EMAIL（cfg_adminemail）：用于站点发信的E-mail地址，默认为“cfg_adminemail”，可以根据自己需要进行修改Html编辑器选项（目前仅支持fck）（cfg_adminemail）：网站内容发布，字段类型为HTML 时候使用的编辑器，例如普通文章发布时候内容部分的编辑器，默认为fck，在V5.3中取消了以前的HTML编辑器，并今后不再进行开发专题的最大节点数（cfg_specnote）：专题部分节点的最大数目，默认为6个节点，在添加专题内容处有相关节点的信息栏目位置的间隔符号（cfg_list_symbol）：通常显示在网站当前位置部分的内容，默认为“ > ”即当前位置部分显示为“主页> 一级栏目> 二级栏目”，可以根据自己需要进行修改关键字替换(是/否)使用本功能会影响HTML生成速度（cfg_keyword_replace）：系统将会替换HTML编辑器中内容部分的关键词为加亮显示，通常这个选项开启会影响系统生成HTML页面的速度，系统默认是开启的(是/否)支持多站点，开启此项后附件、栏目连接、arclist内容启用绝对网址（cfg_multi_site）：系统附件生成采用地址类型，一般附件生成没有开启该选项附件将采用“/uploads/liming/test111.gif”的形式，如果开启将在附件地址前面加上网站地址，会变为“/uploads/liming/test111.gif ”设置有效解决了二级域名附件无法显示的问题，系统默认是关闭的(是/否)开启管理日志（cfg_dede_log）：用于记录管理员登陆操作系统的日志，默认是关闭的FTP主机（cfg_ftp_host）：部分创建将通过ftp形式进行文件创建，系统默认没有这个设置，您可以设置FTP的主机地址为，下面的FTP相关设置也是如此，如果是虚拟主机需要空间商提供FTP账号密码等FTP端口（cfg_ftp_port）：同FTP主机部分FTP用户名（cfg_ftp_user）：同FTP主机部分FTP密码（cfg_ftp_pwd）：同FTP主机部分网站根在FTP中的目录（cfg_ftp_root）：同FTP主机部分，一般虚拟主机网站根目录为wwwroot或者htdocs是否强制用FTP创建目录（cfg_ftp_mkdir）：如果系统不支持PHP创建目录，启用后将采用FTP形式强行创建目录，系统默认是关闭这个选项的服务器时区设置（cfg_cli_time）：用于设置系统程序执行的时区影响到全站时间相关功能，如文章添加时间、留言时间等，默认为8是否启用smtp方式发送邮件（cfg_sendmail_bysmtp）：采用SMTP发送电子邮件，系统默认是关闭的，改设置将影响到找回密码、文档内容推荐等功能，如果开启需要设置以下SMTP信息，如果启用还需要保证服务器拥有邮件发送的功能，如果是主机空间可以和空间商取得联系并且确保SMTP设置正确性才能确保邮件发送smtp服务器（cfg_smtp_server）：同是否启用smtp方式发送邮件部分，默认为smtp服务器端口（cfg_smtp_port）：同是否启用smtp方式发送邮件部分，默认为25 SMTP服务器的用户邮箱（cfg_smtp_usermail）：同是否启用smtp方式发送邮件部分SMTP服务器的用户帐号（cfg_smtp_user）：同是否启用smtp方式发送邮件部分SMTP服务器的用户密码（cfg_smtp_password）：同是否启用smtp方式发送邮件部分建网站：织梦DedeCMS内容管理系统设置说明(2)在线支付网关类型（cfg_online_type）：设置在线支付网关类型，默认为nps删除文章文件同时删除相关附件文件（cfg_upload_switch）：删除文档内容时候如果开启了这个选项将清除文档相关附件网站全局搜索时间限制（cfg_allsearch_limit）：如果在使用高级搜索，查询时间大于设置时间数，系统将提示“服务器忙，请稍后搜索”，默认为1，即为1秒。

织梦模板爱好者分享从上班到现在已经数个月，但是每次站长朋友们都找来开启空间的时候，百分之九十的都是被挂马，这就说明dedecms不安全吗？不是这样的，开源程序站长朋友都是知道的，源码随处可以见到，这就说明我们安装的程序是很容易被高手知道的漏洞，很轻松就可以挂上他喜欢的东西。

为了防御这种类似的挂马、ddos攻击，小编仔细的介绍开来，小编查找了各大网站的防御方式，都是不是很齐全的，为了让广大站长朋友们把自己的程序防御得更好！小编就把这些总结起来。

1、安装时候的注意事项，有很多站长朋友安装的时候就很粗心大意的，安装dedecms的时候数据库表的前缀是默认的，很多站长朋友认为这个无所谓，但是对于高手来说，很有可能成为漏洞了。

所以安装的时候必须把数据库表的前缀改为复杂的名字即可。

2、安装管理员的时候尽量把管理员的账号和密码弄复杂一点，账号就不要使用admin了使用其他的，密码一定要用字母加数字加符号的方法进行设置，这样的md5值不容易破解。

3、给后台登陆加上验证码，这样可以防止刷入后台账号和密码。

4、把安装install目录删除掉，防止二次安装5、把后台默认的文件夹dede改掉。

防止乱改配置文件，导致后台白屏或者是登陆不上等等6、把不用的功能关掉，比如评论等等，没有必要的统统再后台关闭。

7、这个事重要的一个环节，data默认的文件名改掉，因为小编发现，大部分的发现的最大的文件就是在data里面的，无奈只有修改之，怎么修改呢！看看小编的以下步骤：8、后台管理员目录下的有些功能根本就是没有用的，也是黑客们漏洞的招入方式，所以按照小编的方法把一下php文件删除掉即可，他们分别为：file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 还有如果您不需要sql运行器可以sys_sql_query.php 删除。

织梦安全吗？织梦dedecms安全防护的四个步骤织梦安全吗？织梦dedecms安全防护的四个步骤织梦到底安全吗？这是所有使用织梦的站长都问过的问题，小编在这里只能告诉大家，没有绝对安全的程序。

可为什么大家都说织梦不安全呢？随着织梦cms的使用者增加，一些漏洞也就被慢慢的发现。

众所周知，织梦的某些php文件包含漏洞，比如任意上传漏洞，spl注入漏洞，都是比较让站长伤脑筋的。

那么我们如何做好相应的安全防护呢，小编特意程序研究了一下织梦的一些漏洞文件，发现问题总是出现在4个重要文件夹里面：第一步：dede文件夹后台文件夹dede是我们管理网站登录的文件夹，安装好程序之后一定要修改dede目录名称，建议用数字和字母的组合，这样就可以大幅度提高安全性。

如果有一定基础的站长可以删除目录下一些不必要的php文件，比如我们做企业网站，那么我们只留下文章发布、文章修改、生成、列表、自定义表单等等我们需要用的php和htm模板，其余都删除掉，这样安全性会大幅度的提高。

ps：尤其是友情链接模块和友情链接的php文件，据说这是第一个被发现的后台注入漏洞，建议大家删除该模块和php文件，如果需要友情链接，我们可以手动写入到模板中。

第二步：install文件夹install文件夹是织梦程序的安装文件夹，为了防止被人恶意安装，我们在安装完成织梦cms之后要把这个文件夹全部删除，如果我们需要搬迁网站，那么可以从织梦的官方网站再次下载文件包，把install 文件夹拷贝一下到根目录即可。

第三步：member文件夹member是织梦的会员目录，可以说是发现漏洞最多的目录，因为会员的一些文件上传权限问题，导致了网站有了安全隐患，如果我们是做企业网站或者个人网站，删除这个文件夹是最稳妥的方法。

删除后我们进入后台的系统设置里面关闭会员功能（默认是关闭状态）。

如果需要用到会员功能，建议大家过滤一遍member文件夹里的php 文件和htm模板文件，删除多余的功能，htm模板中也删除掉一些不用的代码，安全性是没问题的。

DedeCMS 目录权限安全设置说明文档../ 【站点上级目录】//如果要使用后台的目录相关的功能需要有列出目录的权限//0444/ 【站点根目录】//需要执行和读取权限如果要在根目录下面创建文件和目录的话需要有写入权限//0755/install 【安装程序目录】//需要有执行和读取权限//建议安装完成以后删除或者改名//0555/dede 【后台程序目录】//需要有执行权限和读取权限//建议安装完成以后修改目录名称//0755/include 【主程序目录】//需要有写入、执行权限和读取权限//0755 //建议在第一次安装后，去掉写入权限以及修改权限（需要重写配置文件时再暂时开启写入及修改权限）//0555 /member 【会员目录】//需要执行读取和权限//建议去掉写入权限以及修改权限//0555/plus 【插件目录】//需要有读取、写入和执行的权限//建议在生成完站点地图和RSS文件后去掉写入权限以及修改权限//0755/data 【站点缓存数据等文件】//需要有读取权限和写入修改权限//建议去掉执行权限//0666/html 【HTML文档默认目录】//需要有读取修改和创建权限//建议去掉执行权限//0666/templets【模板目录】//需要有读取修改写入权限//建议去掉执行权限//0666/uploads 【附件目录】//需要写入读取权限//建议去掉执行权限//0666/company 【企业黄页程序目录】//需要读取和执行权限//建议去掉写入权限//0555/special 【专题文件目录】//需要执行、读取、写入和修改权限//0755/book 【书库模块程序目录】//需要执行、读取、写入和修改权限//0755/ask 【问答模块程序目录】//需要执行和读取权限//建议去掉写入权限//0555/group 【圈子模块程序目录】//需要执行和读取权限//建议去掉写入权限//0555注：在Windows系统，写入、读取权限在目录属性（NTFS分区格式）>> 安全中设置，执行权限在IIS管理器>> 站点>> 目录属性>> 执行权限中设置。