怎样避免dedecms的webconfig被篡改

首先你要有那个页面，比如你想导入headhtml页面，把这个页面放进你的文件夹中（dede/templets/你自己的文件夹），然后修改一下你的静态页面的后缀名，改成htm，最好再改一下字符编码，看你下载的DEDE是哪个版本就修改成哪种字符编码，防止出现乱码问题。最后在你想导入的页面加上{dede:include filename="headhtm"/}，这样就可以实现导入另一个页面了。（童鞋记得标签的结束符号哦）

更新 622

来源，以及作者跟原文章有关，原文章没有写就不会有的。

这个采集成功率大概有95%，采集不了就只能手动添加了，不是很多。

BASE64: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:END

第一，服务器安全。我 们大部分站长都是用的虚拟主机，有些人说这我们没有办法去选择和解决，我认为这个还是可以解决的。我们在购买主机的时候，可以试用几天，一般主机商都是可 以提供试用服务的，也或者要求主机商提供销售主机的IP给我们，我们可以通过同IP网站以及相关网站来分析目前服务器中的网站安全情况，如果你发现很多网站都被挂有黑链接，那说明服务器安全有一定的问题，选择的时候慎重考虑。

第二，程序的安全设置。我们需要根据织梦官方的设置要求，不要开放所有文件及文件夹的读写权限，有些文件夹设置

为只读状态，如果我们紧紧是用来做内容系统，而不让会员参与，我们可以删除MEMBER文件夹，因为很多安全都是通过会员的提权出现的。以及我们在程序安

装完毕后，要删除install文件夹，在设置数据库密码以及账户密码的时候尽量复杂一些，采用数字，大小写字母，以及字符混合作为密码。网站后台路径把

默认的DEDE修改成其他不容易猜测的。

第三，及时升级补丁。作为织梦官网，升级也是经常在做的，我们在登陆网站后台的时候，如果看到有升级提醒，需要及时升级文件，以防止因为没有升级造成漏洞入侵。一般常见的安全，官网会第一时间发现，并且提供补丁，这点如果我们及时做到，从网站角度考虑是没有问题的。

第四，密码设置安全。不论是我们网站的密码还是数据库密码，或者是FTP登陆密码，我们都需要设置安全一些。一个主机商朋友告诉我，最近出了一款什么FTP密码扫描软件，可以直接扫出弱密码，直接通过管理员登陆修改网站。

第五，定期数据备份。关于网站的安全，备份肯定每个人都知道，每个人也都会去备份。可能开始做网站的时候还会认

真定期备份，后面时间长了就忘记了，也懒得备份。等待网站出现问题

就后悔为什么没有备份。所以定期备份数据是任何网站都必须做的，比仅仅是DEDECMS，一般最好半个月或者一个月备份一次，根据自己网站数据和重要性。

有些主机商会帮助我们备份，比如一周备份一次，也有每天同步备份的，这就相当不错了。

以上5点建议，是我认为有效防止DEDECMS被入侵的5个有效方法，希望对大家有一个参考价值。

一、注册表被修改的原因及解决办法

　　其实，该恶意网页是含有有害代码的ActiveX网页文件，这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。

　　1、IE默认连接首页被修改

　　IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。

　　受到更改的注册表项目为：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page

　　通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888homechinarencom ”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。

　　解决办法：

　　①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

　　②展开注册表到

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；

　　③同理，展开注册表到

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

　　在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。

　　④退出注册表编辑器，重新启动计算机，一切OK了！

　　特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

　　解决办法：

　　运行注册表编辑器regeditexe，然后依次展开

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun主键，然后将其下的registryexe子键删除，然后删除自运行程序c:Program Files egistryexe，最后从IE选项中重新设置起始页就好了。

　　2、篡改IE的默认页

　　有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer MainDefault_Page_URL

　　“Default_Page_URL”这个子键的键值即起始页的默认页。

　　解决办法：

　　运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

　　3、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。

　　主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：

　　[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel] "Settings"=dword:1

　　[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel] "Links"=dword:1

　　[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel] "SecAddSites"=dword:1

　　解决办法：

　　将上面这些DWORD值改为“0”即可恢复功能。