织梦系统搭建网站安全吗？如何设置更安全？

本文介绍了织梦的安全性以及为了提升织梦系统安全性能应该采取哪些措施。

织梦做网站安全吗？

相对于其他cms（WordPress、帝国、discus等），安全性要差一些。实际任何程序都有漏洞，只不过使用织梦的人比较多，发现的漏洞也多而已。

织梦安全背后的故事

记得是2013左右周鸿祎在一次什么大会上说了这样一句话，大概意思就是：dedecms是对站长不负责的程序，程序漏洞官方没有及时修复导致很多的网站被挂马。正因为如此，关于dede安全问题就越传越离奇，一提到织梦程序，大家首先想到的就是这个网站系统不安全，而实际上并没有那么不安全！

我遇到过的dedecms被挂马的几乎都存在同样的安全设置问题，都是使用windows server 2003或2008系统，虚拟主机未禁用相关权限，都是使用iis作为web服务器，没有及时更新官方提供的安全补丁。被挂马的几乎都是中了一句话木马，修改首页跳转到其他的网站上，被流量劫持；还有被人做站中站，上传很多纯静态的网页，解决方法如下。

如何做好织梦的安全防护？需要采取哪些措施来做好安全加固？

第一步、服务器安全加固（最好更换linux系统）

使用windows服务器几乎都难逃dede被挂马的命运，尤其是老旧的2003和2008版本，如果还在使用这种低版本服务的建议升级，至少也要升级到windows server 2016版本以上，我的一个网站站使用的是win2008，重做了好几次系统依然被人修改首页跳转到别的网站。实操经验是：升级服务器系统到win2016以上，弃用默认的web服务器iis，使用nginx作为web服务器，设置好nginx相关的相关的安全。

win服务器相对于Linux来说安全性真的较差一些，而且大部分被人攻击都是首先服务器有漏洞，我的win服务器居然被人添加了一个和administrator一样权限的账户，更换了nginx并把iis卸载后没有出现被挂马的问题了。

第二步、web服务器环境尽量自己搭建，并安装服务器安全软件

目前免费的有安全狗、主机大师等，设置网站相关的读写权限，禁用没有用的端口号。另外不建议直接使用一些PHP集成环境来搭建网站，比如大家熟悉的PHPnow、宝塔、护卫神及西部数码建站助手等，这些集成环境本身的安全性较弱，如果一定要使用注意及时更新。建议web环境手动搭建配置，一个PHP环境的搭建网上有很多教程，一次学会终生受益，别老想着用现成的，那些被挂马的网站大多都是使用了集成环境，同时建议经常安装win提示的各种更新有利于提高服务器的安全。

第三步、网站程序安全加固

网站程序方面的漏洞问题是不可避免的，只有设置好也没有什么问题，首先后台提示的安全设置一定要改。

具体要从以下几方面设置：

一、数据库安全

dedecms使用的是mysql数据库，那么Mysql数据库信息不要设置得过于简单，建议不要使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限，数据库密码设置得复杂些。

二、删除install安装目录

dedecms安装完成后，网站根目录的安装目录install/就没有作用了，为了防止别人利用，最好把install文件夹整个删除。

三、修改后台管理目录名称

dedecms默认后台管理目录是dede，很容易被黑客获知，因此建议修改后台管理目录文件夹，登陆FTP把网站根目录下的dede/文件夹重命名，修改为其它名称即可。修改后登陆后台的URL即是：http://域名/修改后的文件夹名称/login.php

四、设置目录权限

对data/、templets/、uploads/、a/网站目录文件夹设置为755可读可执行不可写入权限。

对include/、member/、plus/、dede/网站目录文件夹设置为755可读可执行不可写入权限。其中后台管理目录(默认dede)，可自行修改。

五、删除无用的目录

很多站长使用dedecms搭建网站并没有开启会员功能、专题功能，如果确认不需要使用会员、专题，可以直接删除网站根目录里的member、special目录。

六、修改帐号密码

很多站长习惯使用admin作为用户名，密码也设置的比较简单，这非常影响网站安全，管理员帐号密码要尽量设置复杂，发布文章可以新建频道管理员，并且只给予相关权限。

七、修改/data/common.inc.php 这个文件权限为444，只能读取

八、更改织梦根目录下的data目录名称

data目录用于存放织梦系统一些重要的配置文件与数据，应该予以重点保护。具体操作步骤为：

1）将data重命名为其他名字，如abcdata，然后修改include目录下的common.inc.php这个文件。打开文件，找到第16行：

define('DEDEDATA', DEDEROOT.'/data');

把data修改成为您要改的目录名，如：改为abcdata，那么则改为：

define('DEDEDATA', DEDEROOT.'/abcdata');

在网站后台，系统－系统基本参数－性能选项，“模板缓存目录：”改为：/abcdata/tplcache。
 
这样就基本改完成了，不过现在还有些问题。打开网站目录你会发现，自己跳到安装文件了。不用急，修改一下网站根目录的index.php这个文件，把文件最前面的几行注释掉，注释如下，也就是在代码前面加//，代码如下:
//if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
//{
// header('Location:install/index.php');
// exit();
//}
 
这样，你的网站就可以正常打开了。在后台更新的时候，还是有问题，网站地图跟RSS、JS这几项更新有问题，那么我们只需要在网站根目录下新建个data目录，然后data目录下再分别新建rss和js两个目录，这样就可以了，再更新一下看看，是不是都正常了呢？

九、不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

十、后台管理目录下file_manage_xxx.php，不用的可以做掉，这个不是很安全，至少进了后台上传小马很方便。

十一、下载发布功能（后台管理目录下soft__xxx_xxx.php），不用的话可以做掉，这个也比较容易上传小马的。

十二、定期备份
备份永远是最好的保障，一旦网站被黑或被删除可以在第一时间恢复网站，最大限度地减少损失。建议dedecms站长定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复，发现问题尽快修复。

通过以上安全措施，相信就能拦截99%的黑客的攻击了，剩下的1%就教给最后一个措施了，￣□￣｜｜。

更多相关推荐

• 织梦调取带超链接的tag标签的实现方法
• dedecms模板常用标签大全(持续更新中)
• dede织梦根据keywords调取全站相关推荐文章
• 怎么给dede织梦导航栏调用增加nofollow
• 做好的本地织梦网站怎么上传到服务器