织梦的历史漏洞

我们完成了环境的准备之后，下面就可以通过在浏览器中输入安装向导的网址开始进行DedeCMS的安装，在安装完成之后我们就可以看到我们的站点。

我们下载下来通常是一个压缩包，将其解压，然后将upload文件夹中的文件上传到网站的根目录中。

提示：安装包解压后，一般含有使用协议、安装说明及版本说明几个文件，新人在第一次使用的时候希望阅读下相关的说明。

1我们在浏览器中打开http://你的网址/install/indexphp ，开始进行安装。

2选中“我已经阅读并同意此协议”点击继续，这里系统跳转到环境检测页面。

这里我们对系统环境做一个简单的说明：

DedeCMS是基于PHP和MySQL技术开发，可以同时使用在Windows、Linux、Unix平台，其具体环境如下：

◆Windows 平台 IIS/Apache + PHP4/PHP5 + MySQL3/4/5

如果在windows环境中使用，建议用DedeCms提供的DedeAMPZ套件以达到最佳使用性能。

◆Linux/Unix 平台 Apache + PHP4/PHP5 + MySQL3/4/5 (PHP必须在非安全模式下运行) 建议使用平台 Linux + Apache22 + PHP52 + MySQL50

◆PHP必须环境或启用的系统函数 [√]allow_url_fopen [√]GD扩展库

[√]MySQL扩展库 [√]系统函数（phpinfo、dir）

2如果环境检测全部正确（[√]），我们点击“继续”进入“参数配置”

3首先我们配置“数据库设定”部分的参数，这里我们涉及到几个概念“数据库主机”、“数据库名称”、“数据库用户”、“数据库密码”、“数据表前缀”、“数据库编码”。

如果您使用的是虚拟主机或者合租服务器，一般空间商都会提供给你相关的数据，如果你是自己配置服务器或者本地测试，一般在环境架设时候会有相关的信息提示。

以 DedeAMPZ为例，因为Apache和MySQL共同安装在一台计算机上，所以数据库主机地址为“localhost”，数据库名称我们这是设置为默 认“dedecmsv53”，数据库用户名为“root”、密码为MySQL数据库默认密码“123456”，表前缀为“dede_”。

说 明：数据表前缀是为了方便一个数据库中存放多个程序的数据库，例如你一个数据库需要安装两个DedeCMS系统，第一个系统数据表前缀可以设置为 “dedea_”，第二个数据表可以设置为“dedeb_”，因为表前缀不同，数据表在数据库中存在的表名也不相同，例如第一个系统的管理员账号存放的数 据表则为“dedea_admin”，第二个数据表名为“dedeb_admin”，这样他们两个系统的数据库就可以共存在一个Mysql数据库中。

4网站设置中需要注意的是填写你的“网站网址”和“CMS安装目录”，其中“CMS安装目录”如果你安装在网站根目录不需要去理会，如果你安装在根目录的某个文件夹下需要进行相关的设置（程序会自动检测）。

5点击“继续”，完成DedeCMS的安装，到这里为止，我们的安装已经完成了，下面就是我们开始使用DedeCMS

6点击[登陆网站后台]，网址自动转向到http://wwwyoursitecom/dede/loginphp(yoursite代表你的网站)，输入我们安装时候填写的管理员用户名和密码，以超级管理员身份登陆系统。

提示：系统默认管理路径是dede，登陆管理后台可以通过地址http://wwwyoursitecom/dede/loginphp进行访问，但是为了确保系统的安全，建议新人在安装完成之后修改后台的管理路径，例如：myadmin，这样你可以通过http://wwwyoursitecom/myadmin/loginphp登陆，别人就不容易猜到你的后台地址。

1、以下目录：data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径，可以在后台进行更改；2、以下目录：include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede)，可自行修改；3、如果不需要使用会员、专题，可以直接删除member、special目录；4、删除install安装目录；5、管理员帐号密码尽量设置复杂，发布文章可以新建频道管理员，并且只给予相关权限；6、Mysql数据库链接，不使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限；7、定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复。

2011-8-19 DedeCMS全局变量初始化存在漏洞

描述：可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21 DedeCMS官方源码被植入后门

描述：导致黑客可以执行任意代码从而控制整个网站或服务器

2013-3-29DedeCMS安全漏洞

描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复

2013-4-1DedeCMS 爆SQL注入漏洞

描述：乌云平台曝光， “0day”，官方已修复

2013-5-2DedeCMS“重安装”高危安全漏洞

描述：被发现“0day”，通知官方修复并启用临时修复方案

2013-6-4DedeCMS 高危安全漏洞

描述：此漏洞为“0day”，官方已修复

2013-9-30DedeCMS 57版本高危漏洞

描述：乌云白帽子上报，“0day”，跨站脚本漏洞，可在前台插入恶意JS代码，黑客已经利用

2014-1-6DedeCMS会员投稿跨站脚本漏洞

描述：攻击者可通过“会员投稿”插入恶意代码，后台管理审稿时“中招”可导致网站被黑

2014-2-17swfuploadswf跨站漏洞

描述：该漏洞乌云平台上报，站长反馈网站在检测时检测出此漏洞，已提供修复方案

2014-3-4DedeCMS多个安全漏洞

描述：包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复

2014-03-05dedecmsV5738 GBK正式版20140305常规更新补丁 member/soft_addphp修复功能错误及存在的漏洞member/soft_editphp修复功能错误及存在的漏洞include/filterincphp修复功能错误及存在的漏洞2014-03-11dedecmsV5739 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732fxml新增畅言模块include/helpers/channelunithelperphp模板标签解析功能完善include/inc/inc_fun_funAdminphp更新提示站点迁移完善include/taglib/flinklibphp友情链接标签缓存完善2014-03-13dedecmsV5740 GBK正式版20140313常规更新补丁 include/helpers/channelunithelperphp修复一个标签解析错误2014-11-28DEDECMS官方网被黑，黑客在织梦服务器端植入恶意代码，所有织梦用户访问后台时会提示下载1exe文件，该程序为后门，一旦下载便会感染成为远控端，而且该病毒会实现反复感染。如果用户为IE浏览器，则会直接感染成为远控端。