一直以來dedecms的安全問題都很讓人頭痛,相信不少使用織夢DEDECMS的站長都有遇到過網站被黑掛馬或暗鏈的情況,特別是dedecms新手用戶,由于對dedecms不熟悉,沒有進行相關的安全設置而頻繁中招。為此博客吧整理了一份基礎的dedecms安全設置指南,希望對有需求的站長有幫助。刪除不必要的目錄安裝好織夢后,需要立即刪除install目錄,install是程序安裝目錄,避免被不懷好意的人利用。如果不需要使用dedecms的會員、專題功能,就刪除member、special目錄,一般來說大部用戶都用不到這兩個功能。刪除不必要的文件可以選擇性刪除plus文件夾下的文件,plus文件夾中的文件功能如下:文件名文件說明建議guestbook文件夾留言板刪除img文件夾圖片刪除task文件夾計劃任務刪除ad_js.php調用廣告,如果你的廣告不是通過后臺“廣告管理”設置的,可以刪除該文件保留advancedsearch.php、heightsearch.php高級搜索,一般只用到search.php刪除arcmulti.php異步方式調用指定的tag列表,用不到,刪除吧刪除bookfeedback.php、bookfeedback_js.php圖書評論和評論調用文件,存在注入漏洞,不安全刪除car.php、posttocar.php、carbuyaction.php購物車刪除comments_frame.php調用評論,存在安全漏洞(現在一般都用第三方評論,不再用織夢自帶的評論)刪除count.php統計文章閱讀次數保留digg_ajax.php、digg_frame.php文章的頂踩功能刪除disdls.php、download.php下載次數統計、下載功能刪除diy.php自定義表單保留erraddsave.php文章糾錯刪除feedback.php、feedback_ajax.php、feedback_js.php評論相關功能刪除flink.php、flink_add.php友情鏈接、友情鏈接添加(建議刪除,否則容易暴露模板路徑)刪除freelist.php自由列表刪除guestbook.php留言刪除list.php動態瀏覽欄目頁保留mytag_js.php自定義標簽js調用方式(如果沒用到后臺的自定義宏標記,請刪除)刪除qrcode.php生成二維碼刪除recommend.php信息推薦刪除rss.phpRSS列表頁刪除search.php搜索保留showphoto.php顯示大圖片(圖集模型會用到)刪除stow.php收藏文章刪除view.php動態瀏覽文章保留vote.php投票刪除如果沒用到就可以刪除掉,plus文件建議只保留如下文件:ad_js.php,count.php,list.php,search.php,view.php,其余的都可以刪除,當然還需要根據自己的需求進行調整。修改默認后臺文件夾名稱dedecms后臺默認登陸地址是“域名/dede”,建議修改為其他名稱,越復雜越不容易被猜出來越好,當然自己要可以記住,可以使用英文+數字等形式,修改方法是直接重命名dede文件夾的名稱即可。刪除默認的admin用戶建議不要使用默認的admin用戶名,可以先新建一個管理員帳戶,然后新admin帳戶刪除。下面是操作步驟:新建管理員賬戶點擊系統->;系統用戶管理->;增加管理員,填寫登錄賬戶及密碼等信息,用戶組選擇‘超級管理員’刪除默認的admin用戶點擊系統->;SQL命令行工具,運行SQL命令:delete from dede_admin where id = 1;遷移data目錄到web目錄外data目錄保存的是dedecms網站數據,同時data目錄存在著比較嚴重的安全隱患,因此很有必要把data目錄移動到站點目錄以外的位置,如果不想遷移目錄,建議修改data目錄的名稱。內容由https://www.dedemao.com/study/1609.html整理。
