dedeCMS织梦后台管理系统的基础安全设置指南

时间：2022-05-26 00:30:01 | 来源：网络营销

时间：2022-05-26 00:30:01 来源：网络营销

网上有很多CMS开源程序，很多站长也都用到DEDECMS，我也使用过，后来经常被挂马，不过排名效果还是不错的，至少对百度的收录和排名都比较友好。其实任何一款开源程序都存在或多或少的漏洞，只是没被别人发现而已。自己不能开发这么强大的系统，只能拿现成的来改了。很多所谓的“黑客”都是用工具来扫描入侵，厉害点的人是不屑来黑我们的小网站的，所以我们一般做好安全防护就可以了。

很多安装了织梦的朋友，对织梦的安全都很烦恼，经常遭遇挂马，被挂暗链等事情，亿企邦也遇到过，相信很多喜欢使用DedeCms建站的站长朋友来说，自己辛辛苦苦做的网站及SEO，安全措施没到位，一不小心被入侵了，排名掉了，流量被劫持了，那真叫心痛呀！因此，对网站做好安全防护，真的很有这个必要。

今天通过百度搜索，总结了一些提升织梦安全性的办法，通过以下设置可以显著的提高织梦的安全性。只要完成基础篇的设置，那么恭喜你，你的织梦安全已经及格了，相反，如果你没有按照基础篇的做，那么你的网站岌岌可危。

1、删除不必要的目录

安装好织梦后，需要立即删除install目录，如果不需要使用会员、专题（99%的用户都用不到），可以直接删除member、special目录（具体可查看亿企邦《织梦dedeCMS系统的核心程序目录及数据结构表》的相关介绍）。

可以删除一些目录：member会员功能；special专题功能；company企业模块；plus/guestbook留言板。

2、删除不必要的文件

以下是可以删除的文件，管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全：

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

不需要tag功能请将根目录下的tag.php删除。

不需要顶客请将根目录下的digg.php与diggindex.php删除。

plus文件建议只保留如下文件：ad_js.php，count.php，list.php，search.php，view.php，其余的删除。

plus文件夹中的文件功能如下表，如果没用到可以删除。

另外，下载发布功能（管理目录下soft__xxx_xxx.php），不用的话可以删掉，这个也比较容易上传木马文件。

3、修改默认后台文件夹名称

默认的后台通过域名/dede访问，请修改为其他名称，越不容易被猜出来越好，可以使用英文+数字等形式。

将dedecms后台管理默认目录名dede改掉，修改方式为直接重命名dede文件夹的名称即可。

4、后台新建新的管理员账户，删除默认的admin用户

（1）、新建管理员账户

点击系统->系统用户管理->增加管理员，填写登录账户及密码等信息，用户组选择‘超级管理员’。

（2）、删除默认的admin用户

点击系统->SQL命令行工具，运行SQL命令：delete from dede_admin where id = 1;

5、关闭多余的功能

用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

6、迁移data目录到web目录外

data目录存在比较严重的安全隐患，很有必要将data目录移动到站点目录以外（具体迁移办法可以查看亿企邦《安全正确转移网站data目录文件的具体方法步骤》的相关介绍）。

实在没有条件迁移到站外的同学，也请一定要将data目录改一个名字。

7、修改数据库的表前缀

安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_，可以改成ljs_，随便一个名称即可。

8、修改admin账号

后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号（具体可查看亿企邦《修改网站后台管理员用户名admin的具体操作方法汇总》的相关介绍）。

9、DedeCms官网出的万能安全防护代码

为了让大家的CMS更安全，有需要的手工在config_base.php里加上

打开config_base.php，找到：

//禁止用户提交某些特殊变量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
}
}

改为下面代码：

//把get、post、cookie里的<? 替换成 <?
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
//检测上传的文件中是否有PHP代码，有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},'r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!='' && ereg("</?",$fstr)){
echo "你上传的文件中含有危险内容，程序终止处理！";
exit();
}
}
}

另外，就需要大家多关注dedecms官方发布的安全补丁，及时打上安全补丁。

10、最安全的方式

本地发布html，然后上传到网站空间。不包含任何动态内容，理论上是最安全的，不过，维护相对来说比较麻烦，文章更新也不方便。

亿企邦点评：

虽然，我们已经做了一些安全配置，但还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉，所以还得记得时常备份数据。