如何做好网站安全工作

可以在系统后台直接进行升级，或者下载安全补丁，在这里再次提醒对服务器安全设置要注意：

03-22文件修复列表

plus/searchphp, 修复导致跨站脚本攻击错误

plus/listphp, 修复导致跨站脚本攻击错误

03-10文件修复列表：

include/datalistcpclassphp, 增加一个信息过滤使之更严谨

include/dedesqlclassphp, 增加日志无法浏览的特殊处理

plus/digg_ajaxphp, 常规问题修复

plus/digg_framephp, digg常规问题修复

plus/comments_framephp, 评论常规问题修复

plus/votephp, 修复一个投票编码错误（UTF-8版本）

或者可以下载补丁包：

http://updatenewdedecmscom/Patch/Patch20100309zip

DEDE CMS 是免费开源的。以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，在经历多年的发展，版本无论在功能，还是在易用性方面，都有了长足的发展和进步。

DEDE CMS是存在一定的漏洞。梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。

2011-8-19，DedeCMS全局变量初始化存在漏洞。描述：可能导致黑客利用漏洞侵入使用Dede CMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21，DedeCMS官方源码被植入后门 。描述：导致黑客可以执行任意代码从而控制整个网站或服务器。

2013-3-29，DedeCMS安全漏洞。描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复。

扩展资料：

dedecms优缺点分析：

优点：

易用：使用织梦你可以用十分钟学习它，十分钟搭建一个。完善：织梦基本包含了一个常规网站需要的一切功能。丰富的资料：作为一个国内cms，织梦拥有完善的中文学习资料。丰富的模版：织梦拥有大量免费的漂亮模版，可以自由的使用它们。

缺点：

缺乏灵活性：高度的功能集成造成了织梦灵活性的缺失，所以织梦扩展性并不是很好。安全：织梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。社区：织梦的官方社区是收费的，这对于一个开源项目来说本身就是一个问题。

-织梦

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

请尝试使用安全软件进行扫描，设备中存在木马一般是不良的上网习惯或者下载陌生的软件导致的。设备中存在木马一般的表现是自动下载其他垃圾软件、系统卡顿或者出现延迟、出现有遮挡的广告等问题。

若怀疑手机中存在木马或者病毒，请尝试按照以下步骤请尝试安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的问题，并且给出处理建议，点击一键清除即可删除病毒程序。

若怀疑电脑中存在木马，请尝试下载一款安全软件（例如：电脑管家等）进行全盘扫描和清理即可。也可以尝试下载木马专杀程序对电脑进行清理。若依然无法处理请尝试将硬盘全部格式化然后重新安装系统。

修改downloadphp（网站根目录/plus/downloadphp）

将header("location:$link");

替换为

if(stristr($link,$cfg_basehost))

{

header("location:$link");

}

else

{

header("location:$cfg_basehost");

}

对link参数做判断，对不是同域名的跳转给予提示，将非本站域名跳转到网站首页，以免出现钓鱼欺诈行为。而scanv也不会再提示低危风险漏洞了。

楼主是遇到钓鱼网站了么

现在很多隐藏网站的，各种不安全。

建议不要自己去试验。完全可以要专业的人员帮我们查看，

楼主你可以到腾讯电脑管家那查下，他有全国最大最全的钓鱼网站数据库，可以有效防止被骗。

腾讯电脑管家依托于腾讯庞大的用户群和腾讯产品做了深度整合，在即时通讯工具、邮件、浏览器等多种途径来保护用户的上网安全。和百度等也是合作i关系，可以有效的拦截可疑网站

打开腾讯电脑管家官网——在线服务——网站安全检测（如果显示未知，你可以选｛申请举报｝，工作人员会在几个工作日内，分析处理你所举报的网站，并尽快给你答复的。

多举报一个网站，互联网就多一分安全）