dedecms（织梦）网站安全防护设置

织梦CMS 是国内常用的免费开源管理系统之一，但由于其广泛使用，也存在许多已知的安全漏洞。为了提高织梦CMS网站的安全性，以下是一些有效的安全防护设置步骤：

1. 修改网站后台的访问路径

• 修改后台路径：
  • 默认后台路径为 http://域名/dede/。
  • 修改为更复杂的路径，例如 http://域名/admin-panel/ 或 http://域名/cp/。
  • 修改 config.php 文件中的 DEDEROOT 配置项。

2. 修改管理员默认账号和密码

• 修改管理员账号：

  • 进入织梦后台：
    • 核心 > 数据库内容替换 > 选择 dede_admin 表中的 userid 字段 > 替换内容为新的用户名。
  • 示例命令： sql   UPDATE dede_admin SET userid = '新用户名' WHERE userid = 'admin';

• 修改管理密码：

  • 进入织梦后台：
    • 核心 > 系统用户管理 > 更改 > 输入新密码。

3. 删除不必要的文件夹

• 删除 member 文件夹：

  • 如果是普通企业站且不需要会员功能，删除根目录下的 member 文件夹。

• 删除 special 文件夹：

  • 同样，如果不需要，删除根目录下的 special 文件夹。

• 删除 install 文件夹：

  • 删除根目录下的 install 文件夹。

• 删除 templets/default 文件夹：

  • 如果网站模板不在 templets/default 文件夹内，可以删除该文件夹。

4. 清理 plus 文件夹

• 清理 plus 文件夹：
  • 保留必要的文件夹和文件，删除其他文件。
  • 保留的文件夹和文件：
    • plus/feedback.php
    • plus/search.php
    • plus/searchsql.php
    • plus/viewnews.php
    • plus/viewpic.php
    • plus/plus 文件夹

5. 移动 data 文件夹

• 移动 data 文件夹：

  • 将 data 文件夹移动到根目录的上一级目录，并重命名。
  • 修改 include/common.inc.php 文件中的 DEDEDATA 配置项： php   define('DEDEDATA', '/path/to/new/data/folder');

• 修改缓存目录：

  • 进入系统后台 > 配置 > 修改 tplcache 目录为新的 data 目录。

6. 删除多余的后台文件

• 删除文件管理器相关文件：

  • file_manage_control.php
  • file_manage_main.php
  • file_manage_view.php
  • media_add.php
  • media_edit.php
  • media_main.php

• 删除 SQL 命令运行器：

  • sys_sql_query.php

7. 设置文件权限

• 设置文件夹权限：
  • 对 templets/、uploads/ 文件夹设置为 644 权限（可读写不可执行）。
  • 对 include/、plus/、dede/ 文件夹设置为 755 权限（可读可执行不可写入）。

总结

通过以上步骤，可以显著提高织梦CMS网站的安全性。具体步骤包括修改后台路径、修改管理员账号和密码、删除不必要的文件夹、清理 plus 文件夹、移动 data 文件夹、删除多余的后台文件以及设置文件权限。这些措施可以有效减少被黑客攻击的风险。