新手用织梦（dedecms）建站如何做好安全措施

您好，您这样：

1、进入服务器，打开IIS，点击相应无权限的文件夹data，然后点击右上角的编辑权限。

2、勾选写入，然后确定即可。

3、织梦一直收到黑客的攻击，这里建议站长朋友设置下权限，来降低织梦系统的危险系数。

A、改更默认管理目录dede。B、检查install目录里是否存在installlock文件。有用户没给install目录写权限导致安装的时候没有生成lock文件。安装完成后可整个删除intstall目录。C、关注后台更新通知，检查是否打上最新dedeCMS补丁D、服务器web目录权限设置F、有条件的用户把DedeCms中 data、templets、uploads、html、special、images、install目录设置为不允许执行脚本，其它目录禁止写入，系统将更安全。 不需要专题的，建议删除 special 目录， 需要可以在生成HTML后，删除 special/indexphp 然后把这目录设置为可读写，不可执行的权限； include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入（安装了附加模块的，book、ask、company、group 目录同样如此设置）。

使用putty链接服务器后进入dedecms目录

然后执行以下两句命令即可：

chmod -R 777 Uploads

chmod -R 777 data

注意大小写，要与实际目录大小写一样，不一定跟上面的命令一致

1、data、templets、uploads、a这几个文件设置为可读不可执行权限。a文件保存的是默认的html文件看，可以在后台修改。

2、include、member、plus、dede设置为可读可执行不可写入权限。dede文件夹修改别的名字，这是后台默认登录地址后缀名，用过的织梦的都知道，所以改了吧。

3、如果你的网站没有没有会员登录，专题。可以删掉member、special这两个目录。

4、安装完织梦程序之后，删掉安装的文件install。

5、织梦后台登陆默认登录账号密码都是admin，不要以为把dede文件夹名称改了就以为防患于未然了，一定要做到位。

6、Mysql数据库链接，不使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限。

7、定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复。万一哪天我们的站被黑了，清空了，还能再上传到服务器，完好无损。

8、plus目录删除 ，可以安装一些安全插件。如果是做企业网站用不到会员登录，专题。可以删掉member、special这两个目录。

建议最好还是经常性备份网站,这样才是最安全的。

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题，解决办法：1在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉

听朋友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签，比如有<script language="javascript" src="网马地址"></script>或<iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址></iframe>，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的方法。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

具体方法如下：

1、DedeCMS默认风格里，顶部左边有一段话"织梦CMS - 轻松建站从此开始!",很多朋友想把这段话修改成一个横向登录框，像织梦吧(dedecms8com)顶部一样。

2、打开头部公用模板文件templets/default/headhtm，找到如下汉字：

3、把上图里汉字，替换为如下代码：

<div id="_userlogin">

<form name="userlogin" action="{dede:globalcfg_memberurl/}/index_dophp" method="POST">

<input type="hidden" name="dopost" value="login" />

<span>用户名:</span>

<input type="text" name="userid" size="10" class="ipt-txt" />

<span>密码:</span>

<input type="密码" name="pwd" size="10" class="ipt-txt" />

{dede:php}

if(preg_match("#2#", $safe_gdopen)){

echo '

<span>验证码:</span>

<input type="text" name="vdcode" size="8" class="ipt-txt" />

<img id="vdimgck" align="absmiddle" style="cursor:pointer;margin-left:0px;text-transform:uppercase;" alt="看不清？点击更换" src="'$cfg_cmspath'/include/vdimgckphp"/>';}

{/dede:php}

<button type="submit" class="btn-1">登录</button>

<a href="{dede:globalcfg_memberurl/}/index_dophpfmdo=user&dopost=regnew" >注册账号</a> <a href="{dede:globalcfg_memberurl/}/reset密码php">忘记密码</a>

</form>

</div>

<script language="javascript" type="text/javascript">CheckLogin();</script>

　　改后：

4、其实仅仅这段代码还不够，还需要完成下一步才能达到效果：

那么，我这里为什么没有加这段代码呢这是因为默认主页模板文件indexhtm里，已经包涵了这段代码。如果没有，或被自己删除了，请添加在indexhtm里之前。

打开member/ajax_loginstaphp文件，找到如下代码

5、上图红色框内的代码，即为登录成功后，返回用户信息。多数时候，我们的顶部导航没太宽的地方，以显示这些数据，所有完全没必要全部返回这些信息，可以适当减少几项，并且对div做美化，以达到美观体验。这里，简单做下调整，如下：

6、更新生成后，可以看到如下效果：

这样一个顶部横向登录框就制作完了。