用DEDECMS搭建网站的安全篇：默认模板路径漏洞

一共是两大步，

首先是常规选项。常规选项中需要改动的地方不大，除了栏目标题和路径，其他的完全可以不改。

修改栏目的常规选项

可以选择为频道封面

　　当然，因为单页类栏目本身是不用发表文章的，所以栏目属性使用“频道封面”倒是似乎更加贴切一些，以后更新的时候可以一目了然。

　　其实不进行修改也是可以的，因为这里并不关键，关键的是下面的高级选项的设置。

　　其次是高级选项。高级选项中，有设置模板的地方。这里就需要注意了，因为不管是我们选用“频道封面”还是“最终栏目列表”，其默认的模板都是无法实现我们要制作的单页内容的，那么我们就需要自定义一个模板。假设我们使用singllepagehtm来实现单页面的调用，那么我们就需要对其模板进行设置，如果是选频道封面就修改频道封面，反之则修改最终栏目列表。以“最终栏目列表”为例，如图：

高级选项中修改模板设置

　　最后是栏目内容。栏目内容，就是我们实现动态更新的栏目内容了。我们看到，dedeCMS提示我们栏目内容是替代原来栏目单独页的更灵活的一种方式，可在栏目模板中用{dede:fieldcontent/}调用，通常用于企业简介之类的用途，所以我们只要在这里添加企业简介之类的内容，就可以了。而不用笨拙的去修改静态页面。

　　一切妥当之后，我们进行第二大步——修改singlepagehtm模板。

　　修改模板很简单，我们找到templets路径下相应模板分类的singlepagehtm，然后我们对其进行编辑，我们看到，原始的singlepagehtm是调用的{dede:fieldbody/}这里是调用普通文章的内容，我们要做单页模板，只要修改调用的地方为{dede:fieldcontent/}就完事大吉了。

修改模板的调用内容

　　我们看到还有个相关页面，这里我们弃之不用倒显得浪费了。

可以利用起来的相关页面

　　我们也可以对其进行一番改造，调用处相关的一些单页类的栏目来起到增加内链的作用。调用很简单，假设我们企业简介的ID为1，其他单页类栏目ID分别为2、3、4的话，我们可以这样写来实现这些栏目的调用：

　　{dede:channelartlist typeid='9,12'}

　　{dede:type}

　　[field:typename/]

　　{/dede:type}

　　{/dede:channelartlist}

　　保存，生成栏目就可以看到效果了。当然默认的模板是有些寒酸，不过我们可以自己制作模板让其更加美观一些，那就看你CSS运用的怎么样了！我们看一个效果比较美观的：

通过栏目内容调用的单页面

　　如果你有更好的方法来制作可以动态更新的单页的话，欢迎大家留言板留言，本站感激之至。

　　好今天的dede每日一课就到这里，欢迎大家关注其他的中国SEO的dede建站每日一课的内容。同时，我们热烈欢迎会员和学员投稿，具体的投稿方式为，先注册会员，然后点击发布文章即可，如果通过审核发布成功，本站将会有小礼品相送哦！~

建站方向对比

1

如果是单单的建立一个博客，那么选择wordpress是首选，这个是博客系统，非常有优势，但是也用dedecms建博客的人也很多；如果是建立小型站，企业站，那么dedecms有优势

END

插件比较

1

wordpress的插件资源特别丰富，一般的功能都可以有对应的插件来实现，dedecms的插件也不少，但是更多的是付费的，这对于刚开始建站就就付费买插件并不好，当然如果很富有，那也不在乎那几个费用

END

语言选择对比

1

如果建站的浏览群是在国外，那么最好是wordpress，wordpress是世界性质的建站系统，支持的语言特别多，原版的是英文的，汉化也很方便；dedecms免费的目前只有中文，英文的是付费的

END

收录方面对比

1

在国内，dedecms的收录比wordpress要好点，而且收录的速度也比较快，因为dedecms的构架是根据SEO特性设置的，这点dedecms确实比wordpress要强不少，但是如果是在国外的话，两者的收录差不多，但是也看情况，dedecms倾向百度搜索引擎，而wordpress倾向google和别的搜索引擎

END

安全稳定性对比

1

dedecms的发展时间只有短短的几年，而wordpress的历史要长很多，wordpress各方面的安全技术更高，更稳定；dedecms最近几年的安全性也在提高，不过还是远不及wordpress，一个网站的安全是非常重要的，一个站如果今天被植入广告，明天被注入木马，那是非常闹心的事

END

入手管理对比

1

wordpress的入手很容易，但是如果能懂php那就更好用，dedecms的入手稍微要麻烦点，但是也不难，也有的人认为dedecms更好入手和管理，根据个人的技能决定哪个好用好管理

一般是你网站程序有漏洞才会被挂马的，有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。