防止Dedecms被挂马的安全问题分析

防止Dedecms被挂马的安全问题分析

DEDECMS是目前主流的建站程序之一。相信很多站长都和我一样选择了它，它的优点我就不多说了。

可是令很多站长头疼的是，自己用dedecms建的站经常被人莫名其妙的挂马，造成满页黑链，令人气愤;更为严重的是，还有可能被搜索引擎惩罚，于是辛辛苦苦建立的站，眼睁睁的看它权重下降，收录减少，甚至被K。其实，我是草根在被入侵几站与主动入侵他站之后，得出经验：对于dedecms挂马，我们完全可以防范于未然。今天，笔者就自己的体会从一下几点和广大dede爱好者们谈谈怎样防止dedecms被挂马：

1服务器安全这是最基本的防范措施。如果你是独立主机，相信你在搭建服务器的时候已经考虑到了这一点。一定要在服务器上安装最新版本的杀毒软件，及时升级更新，设置好服务器的安全权限，让木马找不到入侵的入口。至于怎么设置，网上搜很多就行了；如果是租虚拟主机，要擦亮眼睛，仔细鉴别。现在有些IDC代理商只认钱不认人。选择一个好的空厂商会给你一个更安全的站点空厂商。即使出了问题，也能在第一时间解决。要知道，站点有些问题是不能拖的，尤其是被恶意挂马，可能一步就被K停了。听说A5的主机不错，有机会就去试试。

2Windows主机下的dedecms安全设置下载安装程序后，首先要做的就是设置目录权限，这样即使木马突破了服务器的限制，我们也无法让它找到进一步破坏的方法。如果你是windows主机，目录权限可以设置如下:(1)数据，模板，上传，一个目录，设置可以读写，但不能执行的权限；(2)如果不需要专题，建议删除专题目录。如果需要，可以在生成HTML后删除special/index.php然后设置这个目录为读/写，无法执行。(include、member、plus、后台管理目录设置为可执行脚本，可读但不可写(如果安装了附加模块，book、ask、company、group目录也同样设置)。另外，建议删除安装目录而不是直接使用MySQLroot用户对网站的权限，并为每个网站设置独立的MySQL用户账号。权限包括:选择、插入、更新、删除、创建、删除、索引、变更、创建临时表。因为DEDE在任何地方都不使用存储过程，所以禁用FILE、EXECUTE等权限是很重要的。执行存储过程或文件 *** 作。

3程序更新补丁设置目录权限后，让网站在后台运行。先别忙着添加栏目和文档，看看系统首页有没有更新补丁提示。如果有，不要犹豫，打出来。如果您使用的是该程序的旧版本，而补丁程序提示是最新版本，建议重新安装该程序的最新版本。现在dede已经出了V5.6，相比之前的版本，安全性更有保障。友情提示:在升级程序之前，不要忘记备份重要的数据，包括图片和模板。

4后台目录改名安装dede后，默认后台目录是dede，很容易让人猜到后台地址，极不安全。换一个更复杂的名字。最好不要用网站名，很容易猜到。

5复杂的FTP密码如果你的FTP密码比较简单，很容易被一些FTP弱密码软件猜到。因此，尽量将FTP密码设置得复杂一些。最好是10位数以上的字母和数字组合，让那些破解程序崩溃。

6最后，数据备份。事实上，即使我们采取严格的预防措施，也不能完全防止被绞死。俗话说“一脚高一脚低”！所以你的网站数据一定要经常备份。即使网站被黑，也可以通过重装程序恢复数据，将损失降到最低。毕竟数据是站长最宝贵的财富。

好了，以上六点都是我在实践中的体会。下次我会写一篇关于dedecms死后如何处理的文章。