织梦主页被篡改的问题，如何解决

DEDE CMS 是免费开源的。以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，在经历多年的发展，版本无论在功能，还是在易用性方面，都有了长足的发展和进步。

DEDE CMS是存在一定的漏洞。梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。

2011-8-19，DedeCMS全局变量初始化存在漏洞。描述：可能导致黑客利用漏洞侵入使用Dede CMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21，DedeCMS官方源码被植入后门 。描述：导致黑客可以执行任意代码从而控制整个网站或服务器。

2013-3-29，DedeCMS安全漏洞。描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复。

扩展资料：

dedecms优缺点分析：

优点：

易用：使用织梦你可以用十分钟学习它，十分钟搭建一个。完善：织梦基本包含了一个常规网站需要的一切功能。丰富的资料：作为一个国内cms，织梦拥有完善的中文学习资料。丰富的模版：织梦拥有大量免费的漂亮模版，可以自由的使用它们。

缺点：

缺乏灵活性：高度的功能集成造成了织梦灵活性的缺失，所以织梦扩展性并不是很好。安全：织梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。社区：织梦的官方社区是收费的，这对于一个开源项目来说本身就是一个问题。

-织梦

提到网站建设，最先想到的就是下载CMS建站系统来建站，当然不乏还有会外包定制的方式，那成本就另说了，采用CMS系统建站优势便是开发省时且价格给力，而且功能完整，比定制开发的体验性，功能性方面都强大很多。所以市面上才会出现了很多不同类型的CMS建站系统，那么从seo角度方面来考虑，怎么选择建站系统呢

目前一些主流的CMS建站系统都的seo功能都很完善，后台的操作性、可扩展性也很强，支持各项优化操作，今天小熊优化的小编给大家分析和归纳一下当前众多的CMS建站系统。

一、从网站类型角度

网站一般分为企业站、博客站、论坛站、问答站、学校、政府等等多种细分的类型，而现在的CMS建站系统大多也都有所侧重，企业、学校，政府一般都会选择PageAdmin系统，博客类网站就建议Zblog或Wp等系统。论坛类网站则首选discuz，非常知名的论坛类程序。一些网店商城类网站则可以选用ecshop。当然还有一些知名的CMS系统，上述没有提到比如帝国cms、dedecms(dedecms安全不好，不建议用)等等，因为种类实在多到纷繁复杂，当然比如pageadmin也可以用来建立博客网站，只是说一种程序在某种特定领域被使用的频率较高，也并不是绝对的说明问题。

二、从模板外观角度

如果使用CMS建站系统那自然少不了配套的网站模板。至于这么多种cms系统我们没有都亲身使用过，也就能简单地说上几种。普遍有说pageadmin的模板整体页面给人的感觉漂亮大方，而帝国cms的模板则统呈绿色简约视感中规中矩，而discuz的模板则有人认为过于简易而且不太美观。关于外观的好与坏只能说因人而异，每个人的审美毕竟不同，对于具体网站的定位也不统一，应该选择最为适合的风格和色调以及符合团队的审美的就是最好的了。

三、从安全性能角度

其实任何一个程序亦或是系统都会存在或大或小的漏洞，用一句软件开发界的话来总结那就是没有bug的程序是根本不存在的。无论你是找人定制开发或者使用成熟的cms系统，bug都会存在，只是没有发现而已，要从更新速度，技术等方面去综合考量一个程序存在安全漏洞的多与少，出现问题的频率是否过高，以及最重要的一点：出现问题之后官方给予的反馈态度以及应急补救的结果是否见成效。如果一个系统基本已经不会定期在更新维护，出了问题也无人问津那还是趁早放弃吧，毕竟我们不是程序员对不对。

比如dedecms漏洞就很多，而且团队基本已经解散，所以出了问题也没有人解决，WordPress也是最容易被黑的程序，尤其那些随便安装插件的网站更是重灾区，比较安全的有pageadmin、帝国cms、其中pageadmin很多时候用于政府网站开发，所以安全性很高。

不论是何种建站程序，适合自己使用习惯的才是最好的，安全方面可以通过服务器方面和安全类监控软件类配合防范，然后对系统及时进行更新，定期更新到最新版本，这样就基本上不会有什么大的问题了。

这个很烦人的，主要是后台程序造成的。如果后台不常用。那就把后台那个文件夹删了，用到的时候再加上去，不用的时候删除。我被折磨了一个多星期。搜到的方法都用了。还是天天被改。才想到这个。现在这几天好了。

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

DEDECMS最近频繁出现安全漏洞，很多客户网站被黑，挂上木马链接。

被黑都是由于没有及时打上补丁，所以这里提醒大家，经常进入后台检查一下是否有补丁，发现有补丁及时打上。

1由于DEDECMS开源，源代码未经过任何加密，黑客可以分析程序源代码来发现漏洞。

2DEDECMS用户数量惊人，国内有几百万网站在使用，黑客一但发现漏洞，非法入侵网站来谋取巨大利益也是重要的一个原因。

3织梦创始人IT伯拉图离开织梦以后，

dedecms长时间未有大的更新。

二、预防被黑客攻击

1网络上没有绝对的安全，基本上所有做网站的都有被黑经理，包含我们人，包含91dedecom都有被黑过。

2防黑必须提高自身安全知识，选择正规的空间商，自己的服务器的话需要找专业的人配置环境，服务器上能不装的软件一律不装(包括所有杀毒软件都不要装)，服务器上能不开的端口一律不开放。服务器及时打上系统补丁。

3DEDECMS一般漏洞被公布后一两天官方就会出现补丁，大家发现有补丁马上更新，一般情况下是轮不到你的网站被黑，如果在第一时间还没出补丁就被黑了，那么恭喜你，你的网站经营的不错已经得到了广大黑客的认可。。

三、被黑以后的处理

1有备无患，大家一定要经常备份，选择好点的空间商一般也会提供定期备份服务，不过大家最好还是自己定期备份，这样不管出现任何问题，都可以还原备份来解决。

做为一个网站管理者，必须要努力提升自我的安全意识。大概就写这么多了。。

一般是你网站程序有漏洞才会被挂马的，有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。