如何提高dedecms网站的安全性

第1 步：选编码放程序文件 文件将本压缩包进行解压,根据您网站的编码选择对应编码程序文件打开，（比如：我网站的编码是UTF8）那么就打开UTF这个文件夹然后将wappcphp文件（如图）复制粘贴到网站后台文件夹下(默认是根目录/dede)。

第2 步：引用程序文件 找到 根目录/后台文件夹（默认是dede）/templets 文件夹里的 index2htm 用编辑器或记事本打开,然后把下面的代码插入到文件中间如图所示的位置保存

第3 步：建文件夹放模板放生成文件 在网站后台的默认文件夹 根目录/templets 里建两个空文件夹分别命名为pc 和wap( 如下左图 )，这两个文件夹用来分别装电脑站和手机网站的模板文件，然后再在网站的根目录下建一个 wap 的空文件夹，这个文件夹用来装生成后的手机HTML页面。( 如图 )

第4 步：后台基本配置 登陆网站的后台，现在只需要对后台进后设置最后7 小步就可以正常使用了

第5 步：开始使用 在建好电脑模板和手机模板的前提下个生成电脑站和手机站，点击当前为X按钮（如下图），切换模式后像平常用织梦一样分开生成电脑站和手机站静态页面即可。

phpcms优点：

1模块化安装，非常适合安装，拆卸，和拿到市场上去交易非常方便的。

2灵活的标签语法，非常强大。

3缓存做的非常优秀。几乎支持目前主流的几大缓存系统解决方案，file缓存，eaelerator缓存，memcache缓存，shmop缓存等

4安全性也不错的。后台为了防范入侵，采用了cookie和session同时存在验证技术，才可以安全进入后台。

多次登录失败，开启验证码功能。防止机器人频繁猜口令。

5数据库。在根目录下的include目录下，db_aessphpdb_mssqlphpdb_mysqlphp等，就照着他的方法，在增加几个也没问题的。

6兼容性。是在php4的基础上开发的，所以向下兼容性是不错的。在include/globalfuncphp这个文件可以看到很多if(!function_exist()){}，这些代码就是为了兼容php4相关函数。

phpcms缺点：

1后台对应的模块的功能列表url,从数据库中读取的，也即是，安装的时候，将url写入数据库了。这个如果二次开发要修改的话，不是很方便的，最好是写到文件中，读取文件内容，方便开发者开发，而且也更容易维护，如果是出于安全考虑的话，不妨加下密也可以的。

2分部式。后台的某些功能模块，还是要调用各个应用模块的admin部分，相关＊．inc．php文件．如果我要把其中某个模块或应用独立出去部署到其他的服务器上，就不方便了。

3数据库设计问题，后台开设模型时，表的引擎只能是myIsam,而不能选择其他的，字段的类型，比如要开设一个字段为number,类型为int,但是在新增加的模型表中还是以varchar出现，而不是int,长度是默认的255modelfiled表，才发现该系统是将类型写到该表中了。

4加密/解密程序。目前已经在想相关安全网站已被爆以破解。这也不是什么新闻了。在开发中，关注下相关安全厂商发布的漏洞。

5数据库抽象层。就以上提到的几个数据库文件。db_mssqlphpdb_mysqlphpdb_aessphp等对于数据库分布式，应该没问题的。数据库抽象层处理数据比较快，且快平台更容易且更容易维护，这个是需要考虑的。

Dedecms功能实用，模板功能使用简单。

DEDECMS安全性终极设置

1、需要设置 可读写不可执行 的目录为：data、templets、uploads、a目录；

2、需要设置为 可读可执行不可写入 的目录为：include、member、plus、后台管理目录(默认dede)、模块目录book、ask、company、group……

3、不需要 会员、专题的，可以直接 删除 member、special 目录，或者重命名；

4、已经安装好dedecms的直接删除install目录；

5、MySQL用户千万别给root权限，应设置为：SELECT, INSERT , UPDATE , DELETE、CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES；

6、管理员帐号密码尽量复杂些，md5网站破解不出为妙，发布文章请新建并使用一个信息发布员权限用户。

7、定期备份网站目录和数据库，并进行木马查杀，脚本特征码。

data、templets、uploads目录的权限-----可读写不可执行

include、plus、upup的权限------可读可执行不可写入

data/commonincphp 只读

第一、安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。

第二、后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

第三、装好程序后务必删除install目录

第四、将dedecms后台管理默认目录名dede改掉。

第五、用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

第六、以下一些是可以删除的目录：

member会员功能

special专题功能

company企业模块

plus\guestbook留言板

以下是可以删除的文件：

管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全

file_manage_controlphp

file_manage_mainphp

file_manage_viewphp

media_addphp

media_editphp

media_mainphp

您好，跟版网团队很高兴为您解答：

这个问题的话实现方法其实蛮多的，但是首选pc+手机端公用同一数据。当然如果有条件也可以搞成两个网站，不过维护起来比较麻烦。

首先一种方法，也是织梦最早使用的方法，用织梦后台的wap模块去开发wap模板，这种方法虽然比较早，但是使用的人还是比较少的。

最新版的织梦2015-8-26补丁，更新了织梦手机站模块，升级后会有一个m目录，这个目录会自动生成一个织梦手机网站，当然模板的话也可以去自己开发。具体我也没用过，建议您去了解一下。

还有一种方法就是对织梦进行二次开发，这种也就是比较麻烦的方法。不推荐新手去做这方面的二次开发。否则会搞的焦头烂耳。

这是你模板生成静态文件的时候把image的宽度和高度带出来了；

解决方法1；自己写js文件；去掉文章里的宽度和高度；

2、找到模板文件；把<img>标签里的宽度和高度去掉