dede网站安全设置

　Dedecms的普及面还是很广的，众多的中小站长在用dede建设网站，它的优点突出：开源、容易、优化简单。可它的缺点却很致命：安全性极差。究其原因，树大招风，同时我们也要责问dede的开发团队，不能拿开源当理由，安全性差代表了产品的质量差。笔者根据自身的建站经验对dede进行一些安全设置。

　　1、安装完程序或对程序进行升级之后，一定要把install(安装)或update(升级)文件夹删除，这样可以减少被攻击的范围。除了install文件夹外，能删除的文件夹要看具体使用情况。比如不需要会员功能可以把member文件夹删除，不需要专题功能可以删除special文件夹，需要的话可以把special文件夹设置为可读写，不可执行。另外，在安装的时候也可以修改dede数据名的前缀。

　　2、把data文件夹改名，增加挂马的程序找到你后台路径的难度。接着就是要把默认的admin登陆名改掉，在这里为大家提供一个很简单的方法，就是直间写入sql命令，在dede的后台管理的系统/SQL命令行工具里输入语句：update dede_admin set userid="new userid" where id=1;这里的new userid代表了你要修改的用户名，顺便可以把密码修改的复杂些，并可以定期修改下你的密码甚至是登陆名，用刚才的sql语句。

　　3、设置目录的权限，这个很重要。笔者是按照dede的后台里的安全建议执行的：有条件的用户把data,templets,uploads,html,special,../images,install目录设置为不允许执行脚本，其他目录禁止写入，系统将更安全。注意，这里的install删除更安全，象笔者的网站不需要special的，也是删除更安全。至于怎么设置dedecms的目录权限，官网的天涯对不同的环境有具体的设置，网址是：http://help.dedecms.com/install-use/server/2011/1109/2124.html，大家可以根据自己的环境参考一下。除了上面建议的一些目录外，把生成的网页所在的文件夹也设置为不允许执行脚本，这样，整个网站会更安全。除了这些目录权限的设置，data文件夹下的common.inc.php文件(Linux/Unix)设置为644或(windows NT)设置为只读。

　　4、定期检查dedecms有没有更新，及时打上补丁。有两个途径，一个可以在后台点击在线更新，具体见下图：

更新很重要，一定要常检查，补丁出来了，往往意味着一批网站已经被挂木马了。

　　5、针对已挂马的情况，网上有很多检查和杀毒的软件，大家可以上百度查找。这里给大家介绍一种比较傻瓜式的方法：常备份网站。一旦发现自己的网站挂马了，用文件比较工具比较备份和现有网站有差异的文件，重点查看。实在找不到木马的话，可以进行覆盖。

　　网上关于dede的安全设置的文章很多，大家可以去看看，根据自己的实际情况进行修改，比如把data文件夹移出web目录等。不要安装完dede就急着做网站，那可是个漏洞大集合，不做必要的安全设置，想不挂马也难。挂马的网站论你做的再好，权重再高，又有什么意义呢?其实笔者的建议是，对安全性要求高的个人站长，可以放弃使用dedecms来建设，换用其他的系统。

本网刊登的文章均仅代表作者个人观点，并不代表本网立场。文中的论述和观点，敬请读者注意判断。

本文地址：http://www.xlkjgs.com/notes/web/6623.html