如何提高dedecms网站的安全性

DEDE CMS 是免费开源的。以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，在经历多年的发展，版本无论在功能，还是在易用性方面，都有了长足的发展和进步。

DEDE CMS是存在一定的漏洞。梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。

2011-8-19，DedeCMS全局变量初始化存在漏洞。描述：可能导致黑客利用漏洞侵入使用Dede CMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21，DedeCMS官方源码被植入后门 。描述：导致黑客可以执行任意代码从而控制整个网站或服务器。

2013-3-29，DedeCMS安全漏洞。描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复。

扩展资料：

dedecms优缺点分析：

优点：

易用：使用织梦你可以用十分钟学习它，十分钟搭建一个。完善：织梦基本包含了一个常规网站需要的一切功能。丰富的资料：作为一个国内cms，织梦拥有完善的中文学习资料。丰富的模版：织梦拥有大量免费的漂亮模版，可以自由的使用它们。

缺点：

缺乏灵活性：高度的功能集成造成了织梦灵活性的缺失，所以织梦扩展性并不是很好。安全：织梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。社区：织梦的官方社区是收费的，这对于一个开源项目来说本身就是一个问题。

-织梦

01良好的用户口碑，丰富的开源经验

是国内知名内容管理系统，经超过20万以上站长级用户群经过长达4年之久的广泛应用和复杂化环境的检测，织梦系统在安全性、稳定性、易用性方面具有较高的声誉，倍受广大站长推崇。 DedeCms采用PHP+MySQL技术开发，程序源代码完全开放，在尊重版权的前提下能极大的满足站长对于网站程序进行二次开发。DedeCMS是国内第一家开源的内容管理系统，自诞生以来，始终坚持开源、免费原则。众所周知，开源程序在代码规范性、程序安全性有着较高的要求，DedeCMS拥有4年的开源经验，其灵活的产品架构、极强的可扩展性和可伸缩性能最大化满足站长的应用需求。

02灵活的模块组合，让网站更丰富

往往一个网站通过单一的内容发布系统是远远不能满足用户的需求的，尤其在Web20提倡互动、分享的大趋势下，用户非常希望在传统的内容信息网站中加入问答、圈子等一些互动型的功能。但如果基于原来系统进行开发，整个系统易用性会受到影响，如果使用别的系统，整个网站就不能一体化管理，在这种问题下，DedeCMS推出了模块的功能，程序用户可以像安装软件一样，下载相应的模块进行安装，网站就会增加这些特殊的功能。 这样一来，更加方便软件用户对自己的网站进行扩展，达到自己满意的效果。

03简单易用的模板引擎，网站界面想换就换

引擎简单、易用，采用了XML标记风格，只要懂HTML就可以修改制作模板。 很多的用户都为每次网站改版费尽苦心，因为按照老式的网站制作流程，改版需要修改的不单单是一个界面，还要涉及到程序修改。最后成了一次改版，几乎等于网站重构。DedeCMS就解决了这一系列的烦恼，只需要了解一些DedeCMS的模板标记，只要懂HTML，就能随意对模板文件进行修改，而且每次升级只需要更新模板文件即可，做到了程序和页面很大程度上的分离。

04便捷自定义模型

DedeCMS为用户提供了方便快捷的用户自定义模型，你可以使用这个功能根据自身需求来创建各式各样的站点，如果您了解部分二次开发知识，即能想到就能做到。 往往很多站点，希望能够创建如在线视频播放、在线音乐试听，或者是商品信息发布等类型的内容站点，尽管这些模型系统中没有，但你现在可以使用DedeCMS来自主创建，您只需要先想好自己内容的字段，如：专辑名称、演唱、发行日期等，然后思考这些字段是用哪种字段类型，如：文本、时间、文件上传，接下来只需要在后台的模型管理中按照说明添加即可，想到就能做到。 这种模型的功能有一个很大的好处就是你可以自己去扩展网站后续的功能，不要再去花费财力物力去开发，免去了很多烦恼。

05高效的动态静态页面部署

DedeCMS为用户提供了强大的动态静态部署的功能，用户可以在后台栏目中进行统一的设置，也可以对单独某一篇内容进行静态部署。 这种静态部署最大的优势在于：1减少数据库负担、降低人力维护成本；2利于搜索引擎对网站的友好程度，提高搜索引擎对网站收录量；3很大程度上提高了用户访问的效率。 这样一来，一些地区门户、行业网站、甚至政府部门信息类网站都免去了因为大量数据访问速率下降的后顾之忧。

06灵活的商业运营模式

DedeCMS中提供了较为完善的会员产品体系、会员等级体系、虚拟货币管理体系，并且提供了较完整的支付接口方式，可以设置会员浏览不同内容进行金币消费，这样对行业门户、企事业单位制定开展各种基于网站平台的商业运营方案。 会员可以通过购买点卡进行充值，同时也可以购买包月、包年的服务来阅读某一部分的内容，如果某些内容只能给特定会员浏览，会员必须达到某个等级才能够扣点阅读，网站可以通过销售点券、会员等级服务进行盈利。

07流畅专业界面设计，良好的用户体验

DedeCMS的界面设计遵循国际最新W3C网页设计标准，在开发时期，我们经过IE6、IE7、火狐、Opera等主流浏览器上进行测试，都能够保证您网站浏览的流畅、完整，DedeCMS页面设计遵循标准情况下尽量的减少了各个浏览器中存在的差异，系统不会因为不同的浏览器受到限制。我们优秀的页面设计师能够让网站提高用户体验，及网站亲和力。

DEDECMS安全性终极设置

1、需要设置 可读写不可执行 的目录为：data、templets、uploads、a目录；

2、需要设置为 可读可执行不可写入 的目录为：include、member、plus、后台管理目录(默认dede)、模块目录book、ask、company、group……

3、不需要 会员、专题的，可以直接 删除 member、special 目录，或者重命名；

4、已经安装好dedecms的直接删除install目录；

5、MySQL用户千万别给root权限，应设置为：SELECT, INSERT , UPDATE , DELETE、CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES；

6、管理员帐号密码尽量复杂些，md5网站破解不出为妙，发布文章请新建并使用一个信息发布员权限用户。

7、定期备份网站目录和数据库，并进行木马查杀，脚本特征码。

data、templets、uploads目录的权限-----可读写不可执行

include、plus、upup的权限------可读可执行不可写入

data/commonincphp 只读

第一、安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。

第二、后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

第三、装好程序后务必删除install目录

第四、将dedecms后台管理默认目录名dede改掉。

第五、用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

第六、以下一些是可以删除的目录：

member会员功能

special专题功能

company企业模块

plus\guestbook留言板

以下是可以删除的文件：

管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全

file_manage_controlphp

file_manage_mainphp

file_manage_viewphp

media_addphp

media_editphp

media_mainphp

织梦里面的权限是有点不准确的 他代码的判断里面 是只要 只要你的浏览权限比栏目设置的要高即可 你去后台的会员管理那看看 会员等级值 是不是大于10 你可以给注册的会员等级制设置的大一点 如果不行的话 需要修改修改 plus/viewphp 权限判断那的代码