网上有很多CMS开源程序，很多站长也都用到DEDECMS，长春SEO自学网站长也经常使用，后来经常被挂马，不过排名效果还是不错的，至少对百度的收录和排名都比较友好。

　　其实任何一款开源程序都存在或多或少的漏洞，只是没被别人发现而已。自己不能开发这么强大的系统，只能拿现成的来改了。

　　很多所谓的“黑客”都是用工具来扫描入侵，厉害点的人是不会搭理我们这些小网站的，所以我们一般做好安全防护就可以了。

　　很多安装了织梦的朋友，对织梦的安全都很烦恼，经常遭遇挂马，被挂暗链等事情，长春SEO站长的网站也遇到过，相信很多喜欢使用DedeCms建站的站长朋友来说，自己辛辛苦苦做的网站及SEO，安全措施没到位，一不小心被入侵了，排名掉了，流量被劫持了，那真叫心痛呀!因此，对网站做好安全防护，真的很有这个必要。

　　今天通过百度搜索，总结了一些提升织梦安全性的办法，通过以下设置可以显著的提高织梦的安全性。

　　只要完成基础篇的设置，那么恭喜你，你的织梦安全已经及格了，相反，如果你没有按照基础篇的做，那么你的网站岌岌可危。

1、删除不必要的目录

　　安装好织梦后，需要立即删除install目录，如果不需要使用会员、专题(99%的用户都用不到)，可以直接删除member、special目录。

　　可以删除一些目录：member会员功能;special专题功能;company企业模块;plusguestbook留言板。

2、删除不必要的文件

　　以下是可以删除的文件，管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全：

　　file_manage_control.php

　　file_manage_main.php

　　file_manage_view.php

　　media_add.php

　　media_edit.php

　　media_main.php

　　不需要SQL命令运行器，的将dede/sys_sql_query.php 文件删除。

　　不需要tag功能，请将根目录下的tag.php删除。

　　不需要顶客，请将根目录下的digg.php与diggindex.php删除。

　　plus文件建议只保留如下文件：ad_js.php，count.php，list.php，search.php，view.php，其余的删除。

　　plus文件夹中的文件功能如下表，如果没用到可以删除。

　　另外，下载发布功能(管理目录下soft__xxx_xxx.php)，不用的话可以删掉，这个也比较容易上传木马文件。

3、修改默认后台文件夹名称

　　默认的后台通过域名/dede访问，请修改为其他名称，越不容易被猜出来越好，可以使用英文+数字等形式。

　　将dedecms后台管理默认目录名dede改掉，修改方式为直接重命名dede文件夹的名称即可。

4、后台新建新的管理员账户，删除默认的admin用户

　　(1)、新建管理员账户

　　点击系统->系统用户管理->增加管理员，填写登录账户及密码等信息，用户组选择‘超级管理员’。

　　(2)、删除默认的admin用户

　　点击系统->SQL命令行工具，运行SQL命令：delete from dede_admin where id = 1;

5、关闭多余的功能

　　用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

6、迁移data目录到web目录外

　　data目录存在比较严重的安全隐患，很有必要将data目录移动到站点目录以外。

　　实在没有条件迁移到站外的同学，也请一定要将data目录改一个名字。

7、修改数据库的表前缀

　　安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_，可以改成ljs_，随便一个名称即可。

8、修改admin账号

　　后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

9、DedeCms官网出的万能安全防护代码

　　为了让大家的CMS更安全，有需要的同学，可以手工在config_base.php里加上如下代码：

　　打开config_base.php，找到：

　　//禁止用户提交某些特殊变量

　　$ckvs = Array('_GET','_POST','_COOKIE','_FILES');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　改为下面代码：

　　//把get、post、cookie里的

　　$ckvs = Array('_GET','_POST','_COOKIE');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(!empty($value)){

　　${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);

　　${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);

　　}

　　if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　//检测上传的文件中是否有PHP代码，有直接退出处理

　　if (is_array($_FILES)) {

　　foreach($_FILES AS $name => $value){

　　${$name} = $value['tmp_name'];

　　$fp = @fopen(${$name},'r');

　　$fstr = @fread($fp,filesize(${$name}));

　　@fclose($fp);

　　if($fstr!='' && ereg("<?",$fstr)){

　　echo "你上传的文件中含有危险内容，程序终止处理!";

　　exit();

　　}

　　}

　　}

　　另外，就需要大家多关注dedecms官方发布的安全补丁，及时打上安全补丁。

10、最安全的方式

　　本地发布html，然后上传到网站空间。不包含任何动态内容，理论上是最安全的，不过，维护相对来说比较麻烦，文章更新也不方便。

　　长春SEO自学网点评：

　　虽然，我们已经做了一些安全配置，但还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉，所以还得记得时常备份数据。

　　一般的网站至少要一个月备份一次，如果是内容较多的大型网站，最好一周备份一次，或者一天备份一次。