详解织梦DedeCms的安全问题优化解决办法

详解织梦DedeCms的安全问题优化解决办法(安全设置)

本文详细介绍了详细讲解智盟DedeCms的安全隐患改进解决方案(安全策略)的相关信息。感觉挺好的，现在分享给大家，给大家一个参考。跟我回去看看。

很多初学客户在应用DreamweaverCMS程序的整个过程中不可避免的会遇到镜像劫持和中毒的情况，所以要提前做好网站和数据库的安全工作，防止备份数据被破解。

Dreamweaver作为中国最大的开源系统，是完全免费的CMS程序流，这无疑是很多黑客科研的目标。在自身互联网技术不安全的自然环境下，更容易被抓。DEDE官网早就已经停止更新这个系统软件的版本了，安全系数不仅仅是程序流程本身，还有日常的备份数据和数据库安全注意事项。

好了，事不宜迟，下面是一些常用的解决方案:

步骤1:安装DreamweaverCMS后，记得删除安装文件夹。

第二步:后台登录，必须开启短信验证码功能(或者自己写个安全系统)，删除默认设置administratoradmin，改成特殊复杂的账号。用户名和密码必须长，至少8位数字，英文字母和数据混用。
展开阅读文章:更改织梦管理实例教程的默认设置

第三步:在dedecms的管理后台修改默认的目标目录dede，改成不规则的不容易猜到的(经常改)。

第四步:关闭所有不用的功能(或者移除/删除)，比如会员、评价等。如果没有必要，在后台管理中关闭它们。

关闭会员功能:后台管理-系统软件-系统软件主要参数-会员设置-是否开启会员功能(是)

会员短信验证码开启:后台管理-系统软件-系统软件主要参数-交互通讯设置-短信验证码是否适用于会员文章提交(是)

会员短信验证码打开:后台管理-系统软件-系统软件主要参数-交互通讯设置-是否禁止全面评估(是)

第五步:(1)以下文件目录/功能可以删除(如果不能用):

会员功能【会员档案目录，一般企业网站不使用】
专题研讨功能【研讨功能】
tags.php识别
文件夹a

(2)管理办法文件目录可以删除以下文件:

管理文件目录中的这类文件是后台管理文件管理工具，属于不必要的功能，对安全危害最大。许多黑客都被镜像劫持了。

e/file_manage_control.php[发送邮件]
dede/file_manage_main.php[发送邮件]
dede/file_manage_view.php[发送邮件][/br/Media_add.PHP[视频 *** 纵文件]
dede/Media_edit.PHP[视频 *** 纵文件]
dede/Media_main.PHP[视频 *** 纵文件]
[/h

(3)加上下列文件可以删除:

删除:plus/留言簿文件夹【在留言板留言，以后安装更合适的留言簿软件】；
Delete:plus/task文件夹和task.php[任务计划 *** 纵文件]
Delete:plus/ad_js.PHP[广告]
Delete:plus/bookfeedback_js.PHP和bookfeedback引入系统漏洞，不安全]
删除:plus/bshare.PHP[发送到软件]
删除:plus/car.php，posttocar.php和carbuyaction.php[添加到购物车]
删除:plus/评论有网络安全问题]
删除:plus/digg_ajax.php和Digg_frame.PHP[topstepping]
删除:plus

另外:删除dede/sys_sql_query.php文件，不使用sql指令 *** 作符。

第六步:多关注dedecms官方发布的安全更新，立即打补丁下载。

第七步:下载发布功能(管理方法文件目录下的soft__xxx_xxx.php)，不需要就删除。提交给小龙也很容易。

第八步:可以下载第三方安全防护软件，如360荣誉出品的“梦织CMS安全包”，百度搜索集团网站安全检测荣誉出品的“DedeCMS硬清除木马病毒侧门查杀”；

第九步:(可选)最安全的方法:本地发布html，然后上传到室内空房间。一个不包含所有动态内容的文件理论上是最安全的，但是维护起来相对不方便。

填:还是要经常查自己的网站。被链接暗链接是小事，被链接木马病毒或者删除程序流就很惨了。运气不好，排名也就跟着来了。所以还是要记得经常备份数据信息！！！

看扩展文章:智萌网站备份数据流详解。

到目前为止，我们已经发现有意的脚本文件

plus/90sec.PHP
plus/AC.PHP
plus/config_s.PHP
plus/config_bak.PHP
plus/DIY.PHP
plus/ii.PHP
plus/lndex.PHP
data/cache/t

大部分提交的脚本集中在plus、data和data/cache三个文件目录下。请仔细检查近期三个文件目录中是否有提交的文件。在服务器层面，如果是WIN系列产品的网络服务器，可以安装安全狗等安全防护相关的专用工具；

文章里的内容就这些了。期待对大家的学习和培训有所帮助，也期待大家的应用。