2014最新DedeCms如何防止入侵

建议你到dedecms论坛咨询吧！我的也是dedecms57

刚才更新了补丁，没有任何问题！打的补丁不一定就是include/commonincphp

这个文件，补丁只要程序里没有的文件会直接补上，有的话需要自己手工替换。或者你可以换个浏览器试试看

您好，朋友。跟版网团队很高兴为您解答：

首先确认您是否用的是php53以上版本，网站用的编码是织梦gbk的，如果是的话，那么是织梦cms中函数不支持造成的，系统基本参数里可输入英文会显示，中文不显示，解决办法如下：

dede\templets\sys_infohtm里面搜索

htmlspecialchars($row[‘value’])

替换成

htmlspecialchars($row[‘value’],ENT_COMPAT ,’GB2312′)

最新版织梦已经加入了这个补丁，可通过后台更新网站补丁就可以了。值得注意的是更新前请记得最好数据备份，尤其是模板目录如果是默认的话，请做好模板目录文件备份。希望我的回答能够帮到您，如果不是以上原因，请继续跟进提问，我会继续为您解答。

　　1 安装的时候数据库的表前缀一点要改一下，不用dedecms默认的前缀dede的,可以改成,自己的名字或者o或0以假乱真的写法。

　　2 后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

　　3 装好程序后务必删除install目录。

　　4 将dedecms后台管理默认目录名dede改掉。

　　5 用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

　　6 以下一些是可以删除的目录：

　　member　会员功能

　　special　专题功能

　　company　企业模块

　　plus\guestbook　留言板

　　以下是可以删除的文件：

　　管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全。file_manage_controlphp file_manage_mainphp file_manage_viewphp media_addphp media_editphp media_mainphp

　　再有：不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。

　　不需要tag功能请将根目录下的tagphp删除。

　　不需要顶客请将根目录下的diggphp与diggindexphp删除。

　　7 多关注dedecms官方发布的安全补丁，及时打上补丁。

　　8 下载发布功能（管理目录下soft__xxx_xxxphp），不用的话可以删掉，这个也比较容易上传小马的

　　9 最安全的方式：本地发布html，然后上传到空间。不包含任何动态内容，理论上最安全，不过维护相对来说比较麻烦。

　　10 还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉。所以还得记得时常备份数据！

　　11 添加DedeCms官网出的万能安全防护代码(官网的要会员才能看)，打开config_basephp文件，

　　找到以下这段代码：//禁止用户提交某些特殊变量$ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);}}改为下面这段代码：//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(!empty($value)){${$ckv}[$key] = str_replace(‘<''','&''lt;''',$value);${$ckv}[$key] = str_replace('''>‘,’’’&’’gt;’,${$ckv}[$key]);}if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);}}//检测上传的文件中是否有PHP代码，有直接退出处理if (is_array($_FILES)) {foreach($_FILES AS $name => $value){${$name} = $value['tmp_name'];$fp = @fopen(${$name},’r');$fstr = @fread($fp,filesize(${$name}));@fclose($fp);if($fstr!=” && ereg(“<\”,$fstr)){echo “你上传的文件中含有危险内容，程序终止处理！”;exit();}}}

　　注意事项

　　• 网站安全是一点要的，要不然自己辛辛苦苦做的网站，让黑客入侵了修改了一些重要的信息，排名就会下降。

　　• 日志分析隔三差五的去做，这个可不能闲着，在日志分析中可以精确的得到一些重要的信息。

DEDECMS最近频繁出现安全漏洞，很多客户网站被黑，挂上木马链接。

被黑都是由于没有及时打上补丁，所以这里提醒大家，经常进入后台检查一下是否有补丁，发现有补丁及时打上。

1由于DEDECMS开源，源代码未经过任何加密，黑客可以分析程序源代码来发现漏洞。

2DEDECMS用户数量惊人，国内有几百万网站在使用，黑客一但发现漏洞，非法入侵网站来谋取巨大利益也是重要的一个原因。

3织梦创始人IT伯拉图离开织梦以后，

dedecms长时间未有大的更新。

二、预防被黑客攻击

1网络上没有绝对的安全，基本上所有做网站的都有被黑经理，包含我们人，包含91dedecom都有被黑过。

2防黑必须提高自身安全知识，选择正规的空间商，自己的服务器的话需要找专业的人配置环境，服务器上能不装的软件一律不装(包括所有杀毒软件都不要装)，服务器上能不开的端口一律不开放。服务器及时打上系统补丁。

3DEDECMS一般漏洞被公布后一两天官方就会出现补丁，大家发现有补丁马上更新，一般情况下是轮不到你的网站被黑，如果在第一时间还没出补丁就被黑了，那么恭喜你，你的网站经营的不错已经得到了广大黑客的认可。。

三、被黑以后的处理

1有备无患，大家一定要经常备份，选择好点的空间商一般也会提供定期备份服务，不过大家最好还是自己定期备份，这样不管出现任何问题，都可以还原备份来解决。

做为一个网站管理者，必须要努力提升自我的安全意识。大概就写这么多了。。

目录权限设置

web服务器运行的用户与目录所有者用户必须不一样，比如apache运行的用户为www，那么网站目录设置的所有者就应该不能设置为www，而是设置不同于www的用户，如centos。

我们这里假设web服务器以www用户运行，网站分配的用户为centos，dedecms网站根目录为/home/centos/web。

不建议用户把栏目目录设置在根目录， 原因是这样进行安全设置会十分的麻烦， 在默认的情况下，安装完成后，目录设置如下：

1、首先设置网站目录所有者为centos，用户组为www，目录设置为750，文件为640。

cd /home/centos

chown -R centoswww web

find web -type d -exec chmod 750 {} \;

find web -not -type d -exec chmod 640 {} \;

2、data、templets、uploads、a images目录， 设置可读写，不可执行的权限；

设置可读写权限：

cd /home/centos/web

chmod -R 770 data templets uploads a images

设置不可执行权限：

apache的设置，在apache配置文件中加入如下代码（以data目录为例，其它设置基本相同）。

<Directory /home/centos/web/data>

php_flag engine of

</Directory>

<Directory ~ "^/home/centos/web/data">

<Files ~ "php">

Order allow,deny

Deny from all

</Files>

</Directory>

nginx的设置如下：

location ~ ^/(data|templets|uploads|a|images)/\(php|php5)$

{

deny all;

}

3、不需要专题的，建议删除 special 目录， 需要可以在生成HTML后，删除 special/indexphp 然后把这目录设置为可读写，不可执行的权限，上面介绍了如何设置可读写和不可执行的权限，这里就不重复了。

其它需注意问题

1、虽然对 install 目录已经进行了严格处理， 但为了安全起见，我们依然建议把它删除；

2、不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，许可权限为：

SELECT, INSERT , UPDATE, DELETE,CREATE , DROP , INDEX, ALTER , CREATE TEMPORARY TABLES

由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

假设我们建立的数据库名为centosmysql，数据库用户为centosmysql，密码为123456，具体设置命令如下：

mysql -uroot -p

mysql>GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATE TEMPORARY TABLES ON centossql TO centossql@localhost IDENTIFIED BY 123456;

mysql>FLUSH PRIVILEGES;

mysql>exit

3、更改默认管理目录dede，改到不易被猜到就好。

4、关注后台更新通知，检查是否打上最新dedeCMS补丁。

首先建议你好好学习一下php语法，任何一个网站程序都有很大的漏洞，正如微软每过一段时间都要发布漏洞补丁，如果你的技术超过他就不存在漏洞；其次，要做好安全防护，任何一个疏忽都会造成致命打击；最后希望你多多向前辈请教，也希望你尽快渡过难关