“dede”太脆弱了，早不用早解脫”，“DEDE安全嗎，怎么總是被入侵掛馬？ ”，“天，怎么回事，又被掛馬了”經(jīng)常能碰到這樣的抱怨。不“人云亦云”這是無憂主機（m.gle-technology.com）一貫的觀點。如果織夢網(wǎng)站管理系統(tǒng)（dedeCMS），真的那么脆弱，那么容易被掛馬，那為什么還那么多人選擇使用它？據(jù)我所知，dede管理系統(tǒng)是有非常多的用戶群體的?！熬W(wǎng)站沒有絕對的安全，只有勤勞的站長”我在“無憂主機教你如何使用joomla安全建站(防黑)”一文中講了很多關(guān)于建站要注意的網(wǎng)站安全設置經(jīng)驗，你可以閱讀借鑒它。你有抱怨的時間，還不如仔細檢查下自己的網(wǎng)站是否做好了安全防范措施。 下面我將要告訴一個勤勞、智慧的站長安裝完dede系統(tǒng)后必須要做的事情： 1、? 修改DEDE默認的網(wǎng)站后臺管理地址，請一定要將/dede,目錄改名，并且為復雜用戶名，并記住它。眾所周知，dede默認管理后臺都是，“域名/dede”，黑客是最新喜歡這種不修改默認登錄地址的網(wǎng)站了，多省事。 2、? 請直接刪除“install”目錄，留著無用，而且還有會禍害網(wǎng)站安全，刪了吧！刪除系統(tǒng)安裝程序，這個操作時安裝所有php開源程序的共性，如joomla安裝完畢后，如果不刪除安全目錄（installation）是無法打開網(wǎng)站首頁的，我認為DEDE官方開發(fā)團對可以借鑒這個經(jīng)驗。 3、? Dede安裝前你是否計劃過，你需要dede的那些功能系統(tǒng)？如果你沒有？那么現(xiàn)在就開始，將不需要的功能系統(tǒng)都刪除，在這里我引用前文“Joomla！建站SEO優(yōu)化誤區(qū)(joomla建站seo建議)”中的一段話“簡化你的網(wǎng)站模板，減少網(wǎng)站功能”，功能最小化安裝使用dede系統(tǒng)（在滿足自己需求前提下），是你安全使用dedecms系統(tǒng)的前提。所有PHP開源程序安全設置都有相通之處，要學會舉一反三。你不妨可以學習本站其它開源系統(tǒng)的網(wǎng)站安全設置經(jīng)驗。 下面是我整理出的一些dede站點目錄的位置，如果你不熟悉dedecms系統(tǒng)站點目錄結(jié)構(gòu)你可以參照設置： /member 會員功能模塊 /special專題功能 /install安裝程序 /company企業(yè)功能模塊 /plusguest/book 留言板 其它模塊，也可以不要就刪除它，上面紅色標記的，我已經(jīng)在無憂php空間安裝并做了測試確認可以直接刪除,不會影響dede正常運行，其余的文件用戶可以參考官方文檔操作。最好是在安裝DEDE系統(tǒng)前有計劃的，選擇不安裝，省掉后期的麻煩。我再次特別強調(diào)/install安裝程序，強烈刪除它。 4、? 密碼一直是我很揪心的問題，我在前面寫joomla開源cms系列文檔中都特別多次強調(diào)過，強壯密碼，一定需要一個強壯的密碼才能起到保護網(wǎng)站安全的作用，否則就是一個災難。如果黑客通過注入，獲取到管理員密碼的MD5加密代碼，然后反向編譯MD5代碼，是不是會瞬間瓦解你的網(wǎng)站？所以，請設置一個強壯的密碼吧，強壯到讓它無法反向編譯你的密碼。請不要小覷了黑客通知的實力。 5、? 黑客同志最喜歡的目錄？ 黑客同志最喜歡的目錄，就是dede管理員目錄/dede,dedecms后臺的文件管理器就在這里，這里經(jīng)常被黑客同志所利用，用它來掛馬，這也就是為什么在本文第一條就要強調(diào)要修改dede的網(wǎng)站管理地址的原因。黑客可以利用如下紅色字體文件，進行上傳木馬。這也是黑客為什么樂此不疲的不斷尋找dede后臺管理地址的原因了。 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php ??? 請刪除紅色字體文件一切為了安全。無憂主機（m.gle-technology.com）在測試掛馬注入點的時候，還發(fā)現(xiàn)dede/sys_sql_query.php,tag.php,digg.php，diggindex.php 都是有效的網(wǎng)馬注入點，用戶可以根據(jù)網(wǎng)站需要刪除。這些都是黑客喜歡利用、掛馬的文件。其中DEDE后臺的SQL命令運行器，是我們常忽視的地方，如果不常用，或根本不用，毫不猶豫刪除它。 6、? 拿來主義，網(wǎng)上流傳的經(jīng)典防黑客注入方法（DEDE防注入兩方法） 一是將每個目錄添加空的index.html，防止目錄被訪問； 二是給做好網(wǎng)站301頁面、403頁面、404頁面可以禁止訪問某頁或某文件。 上面的方法無憂主機沒有經(jīng)過測試，不知是否有效，如果你正在使用或測試可行，你可以與我們交流，分享你的成功。 7、? php虛擬主機的選擇。我在joomla安裝前的準備工作中提到，“php語言開發(fā)的系統(tǒng)，最好的架設平臺是Linux系統(tǒng)”，也只有Linux才能完美發(fā)揮出php加MySQL的效率，而且，linux操作系統(tǒng)受到病毒影響幾率要遠遠小于windows系統(tǒng)的php空間。無憂主機是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署，完美支持織夢網(wǎng)站管理系統(tǒng)(dedeCMS)的php虛擬主機。點擊查看dede系統(tǒng)演示平臺 8、? 織夢網(wǎng)站網(wǎng)站內(nèi)容管理系統(tǒng)（dedecms）開發(fā)團體也在不斷關(guān)注產(chǎn)品用戶的體驗度、產(chǎn)品的安全、穩(wěn)定、bug、等問題，請用戶及時從官方網(wǎng)站（www.dedecms.com）獲取最新的版本，和升級補丁。讓織夢系統(tǒng)，為我們站長編織一張美麗的網(wǎng)賺之路

本文地址：http://m.gle-technology.com/dedecms/571.html