织梦Dedecms安全设置

织梦DedeCMS是一款非常流行的CMS，很多刚开始建站人都用的织梦，一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些。这些都导致织梦的用户群是非常庞大的，用的人多了，漏洞自然就多起来，所以织梦的安全性为大家所诟病，很多人在使用中经常会遇到或者担心网站挂马。这里No牛网特意整理一篇关于织梦DedeCMS安全设置的文章，希望对使用织梦的朋友有点帮助。

一般使用织梦建的站只要做到下面一系列针对DEDE网站的安全设置，基本可以避免99% 网站被挂马的情况。

一、精简程序功能，删除不使用的目录

不需要的功能统统删除。比如不需要会员就将member文件夹删除;删除多余组件比如投票、找错等的插件是避免被hack注射的最佳办法。将每个目录添加空的index.html，防止目录被访问。

织梦可删除目录列表：member会员功能，special专题功能，install安装程序(必删)，company企业模块，plus\guestbook留言板，以及其他模块一般用不上的都可以不安装或删除。

另外，如果不是必要用到会员功能，最好在后台的系统设置里面把会员功能关闭，这样防止别人对网站进行SQL注册;友情链接申请的也可以删除，总之就是减少别人往网站提交信息的可能。

二、设置复杂的管理员密码

管理员密码一定要长，而且字母与数字混合，尽量不要用admin，初次安装完成后将admin删除，新建个管理员名字不要太简单。织梦系统数据库存储的密码是MD5的，一般HACK就算通过注入拿到了MD5的密码，如果你的密码够严谨，对方也逆转不过来。

后台最好可以开启登陆验证码，虽然自己麻烦一点，也可以防止在知道后台路径的情况下，对网站进行穷举攻击。

三、删除dede后台不必的功能文件

DEDE后台管理目录下的以下文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。不需要tag功能请将根目录下的tag.php删除。不需要顶一下、踩一下功能的请将plus目录下的digg_ajax.php和digg_frame.php删除!

另外就是文件夹权限不要设置777，data文件夹下的common.inc.php文件设置644属性等，修改管理后台的目录等;这些都是织梦默认就会提示你做的安全设置，可以按照织梦的相关教程进行设置。基本上做好以上的安全设置，织梦DedeCMS的安全性会提高很多。

四、数据库的一些安全

• 虽然对 install 目录已经进行了严格处理， 但为了安全起见，我们依然建议把它删除；
• 不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，许可权限为：

SELECT, INSERT , UPDATE, DELETE,CREATE , DROP , INDEX, ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
假设我们建立的数据库名为hscms，数据库用户为mysqluser，密码为123456，具体设置命令如下：

MySQL -uroot -p

mysql>CREATE DATABASE hscms DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

mysql>set names utf8;

mysql>source /home/server/www/hscms.sql;

mysql>CREATE USER 'mysqluser'@'localhost' IDENTIFIED BY '123456';

mysql>GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATE TEMPORARY TABLES on hscms.* to mysqluser@localhost;

mysql>FLUSH PRIVILEGES;

mysql>exit

• 更改默认管理目录dede，改到不易被猜到就好。