新手用织梦（dedecms）建站如何做好安全措施

1． 要建立个人网站，首先必须要了解一下目前网页制作的基本语言HTML，入门即可，大概花个一二小时就可。

2． 学会使用目前流行的网页制作软件，如Frontpage、Dreamweaver等一些功能强大，所见所得的软件，初步了解就可，不用全部掌握，一般是边用边学，不断提高使用水平。

3． 广泛的上网浏览各种网页，一开始最好能下载一些较简单的个人网页，因为他们所用到的技术较为简单，可用网页制作软件打开研究。然后推荐去浏览一些专业的网页设计网站，学习一些排版经验，同时可下载一些网页结构模版供自己套用。

4． 确定你的网站主题，我个人不主张开始就想建软件大全、书库等网上流行的为网站主题，因为第一你不够专业，网上已有太多的同类软件，别人不可能上你的网站下载。第二这类网站需要巨大的主页空间，不仅一开始你申请不到这么大的空间，而且你也不可能经常上载维护。网站主题最好是有你的个人特色，实在不能确定我建议自己做一个私人门户网站，将平时自己经常去的网站做一个较为综合的连结。

5． 网页最好不要用特别与众不同的颜色、字体，因为每个人使用的计算机各不相同，特别的颜色、字体别人不一定能看得到。

6． 网页要增加美观不可缺少，我建议如果你会用一些专业的作图软件最好自己制作，这会有自己的特色，放些私人照片也可以，但切记各种一定要作优化处理，减小它的存储尺寸。提醒一下每页不要放过多的，因为第一会使网页显得杂乱，第二会使你的网页显示速度过慢。制作的常用软件有Photoshop，Fireworks等。

7． 网页上可以用一些动画与特效增加你主页的美观与功能，动画可上网找，同样最好能自己制作，GIF格式的最常用，可用Ulead的Gig Animator软件制作，目前流行的是Flash动画，更多变化，尺寸更小，缺点是有些计算机上的浏览器缺省没有安装Flash浏览软件，有些计算机用户不能看到Flash。网上还有许多免费的Javascript等可供使用，与一样，我建议每页不要放太多的动画与特效。

8． 网页基本建成后，上网找免费的主页空间，以其主机的速度，提供的空间大小和有无基本的CGI功能及其提供的域名是否简单易记为考量依据，所谓CGI是指主机服务器上提供的程序，一般你可申请有免费计数器、留言板等。找到速度快，主页存放空间大，域名简单的网站存放你的网页。

9． 接下来是将网页上传至你申请的服务器上，具体上传的办法你在申请主页空间时就会了解，具体使用你制作网页的软件即可，我个人推荐使用CuteFTP Pro上传，这个软件功能强大，简单易用。

10． 好，现在你的网站已建立，你可通知你的朋友上去浏览，把个人网站印在你的名片上，还想推广你的网站？那你可去各大搜索网站登录你的新站，如雅虎、搜虎、新浪等知名网站。你还可与其它网站申请友情连结、去一些提供连结交换的网站申请广告交换，如太极链，酷站等。在做这一步时你需要做二个468X60和88X31尺寸的广告，动画最好，存储大小尽量控制在10k以下。

11． 如果你还想靠你的网站赚一些小钱，你可去一些商业网站申请广告连结，替他们做广告，一般以从你的网页点击到他们的网页次数算钱。

12． 最后我要提醒各位未来网主，你的网站千万不要放一些明显与国内政治相抵触的内容，这事关重大，不可儿戏，否则网站被关闭事小，坐牢也说不定哦。另外，网站内容与性有关可大大增加被浏览的数量，但**的内容不要放，虽说性质比不上反动内容，但也有问题。建议打打擦边球，提供一些性教育、性知识，情情爱爱的内容无伤大雅。

随着网络技术的不断发展，网络应用已经渗透到人类社会的各个角落。作为网络世界的支撑点的网站，更是人们关注的热点：政府利用网站宣传自己的施政纲领，日益成为与百姓交流的直通车；企业利用网站宣传自己的形象，挖掘无限商机；个人利用网站展示个性风采，创建彼此沟通的桥梁。越来越多的人希望拥有网站，开辟网络世界里的一片天地。如何设计一个出色的网站呢？关于这个问题，人们讨论的很多，可以讨论的内容也很多，加之网络技术的飞速发展，很难提出一个绝对权威和正确的设计思路，笔者不才，根据自己的设计体

会，总结出以下基本设计思路：

一、定位网站的主题和名称

网站的主题也就是网站的题材，网站设计开始首先遇到的问题。网站题材千奇百怪,琳琅满目，只要想的到，就可以把它制作出来。下面是美国《个人电脑》杂志(PC Magazine)评出的99年度排名前100位的全美知名网站的十类题材：

第1类：网上求职

第2类：网上聊天／即时信息/ ICQ

第3类：网上社区／讨论/邮件列表

第4类：计算机技术

第5类：网页/网站开发

第6类：娱乐网站

第7类：旅行

第8类：参考/资讯

第9类：家庭/教育

第10类：生活/时尚

每个大类都可以继续细分，比如娱乐类再分为体育/**/音乐等小类，音乐又可以按格式分为MP3，VQF，Ra等，按表现形式分古典，现代，摇滚等。同时，各个题材相联系和交叉结合可以产生新得题材，例如旅游论坛(旅游+讨论)，经典入球播放(足球+影视)按这样分下去，题材可以有成千上万种。这么多题材，如何选择呢？遵循的原则如下：

1、主题要小而精

定位要小，内容要精。如果你想制作一个包罗万象的站点，把所有你认为精彩的东西都放在上面，那么往往会事与愿违，给人的感觉是没有主题，没有特色，样样有，却样样都很肤浅，因为你不可能有那么多的精力去维护它。网站的最大特点就是新和快，目前最热门的个人主页都是天天更新甚至几小时更新一次。最新的调查结果也显示，网络上的"主题站"比"万全站"更受人们喜爱，就好比专卖店和百货商店，如果我需要买某一方面的东西，肯定会选择专买店。

2、题材最好是你自己擅长或者喜爱的内容

比如：你擅长编程，就可以建立一个编程爱好者网站；对足球感兴趣，可以报道最新的战况，球星动态等。这样在制作时，才不会觉得无聊或者力不从心。兴趣是制作网站的动力，没有热情，很难设计制作出优秀的网站。

3、题材不要太滥或者目标太高。

"太滥"是指到处可见，人人都有的题材；比如软件下载，免费信息。"目标太高"是指在这一题材上已经有非常优秀，知名度很高的站点，你要超过它是很困难的。

如果题材已经确定以后，就可以围绕题材给网站起一个名字。网站名称，也是网站设计的一部分，而且是很关键的一个要素。你来看，"电脑学习室"和"电脑之家"显然是后者简练；"迷笛乐园"和"MIDI乐园"显然是后者明晰；"儿童天地"和"中国幼儿园"显然是后者大气。我们都知道PIII的中文名称"奔腾"，如果改为"奔跑"，可能就没有今天这么"火"了。和现实生活中一样，网站名称是否正气，响亮，易记，对网站的形象和宣传推广也有很大影响。我的建议是：

1、名称要正

其实就是要合法，和理，和情。不能用反动的，色情的，迷信的，危害社会安全的名词语句。

2、名称要易记

最好用中文名称，不要使用英文或者中英文混合型名称。另外，网站名称的字数应该控制在六个字(最好四个字)以内，四个字的也可以用成语。字数少还有个好处，适合于其他站点的链接排版。

3、名称要有特色

名称平实就可以接受，如果能体现一定的内涵，给浏览者更多的视觉冲击和空间想象力，则为上品。例如：音乐前卫，网页陶吧，e书时空等。在体现出网站主题的同时，能点出特色之处。

二、定位网站的CI形象

所谓CI(corporate identity)，意思是通过视觉来统一企业的形象。一个杰出的网站，和实体公司一样，需要整体的形象包装和设计。准确的，有创意的CI设计，对网站的宣传推广有事半功倍的效果。具体的做法是：

1、设计网站的标志(logo)

就如同商标一样，标志是你站点特色和内涵的集中体现，看见标志就让大家联想起你的站点。标志的设计创意来自你网站的名称和内容：

(1)网站有代表性的人物、动物、花草等，可以用它们作为设计的蓝本，加以卡通化和艺术化，例如迪斯尼的米老鼠，搜狐的卡通狐狸等等。

(2)网站有专业性的，可以以本专业有代表的物品作为标志。比如中国银行的铜板标志，奔驰汽车的方向盘标志等等。

(3)最常用和最简单的方式是用自己网站的英文名称作标志。采用不同的字体，字母的变形，字母的组合可以很容易制作好自己的标志。

2、设计网站的标准色彩

网站给人的第一印象来自视觉冲击，确定网站的标准色彩是相当重要的一步。不同的色彩搭配产生不同的效果，并可能影响到访问者的情绪。举个实际的例子就明白了：IBM的深蓝色，肯得基的红色条型，windows视窗标志上的红蓝黄绿色块，都使我们觉得很贴切，很和谐。"标准色彩"是指能体现网站形象和延伸内涵的色彩。一般来说，一个网站的标准色彩不超过3种，太多则让人眼花缭乱。标准色彩要用于网站的标志，标题，主菜单和主色块。给人以整体统一的感觉。至于其它色彩也可以使用，只是作为点缀和衬托，绝不能喧宾夺主。适合于网页标准色的颜色有：蓝色，黄/橙色，黑/灰/白色三大系列色，要注意色彩的合理搭配。

用户名，密码复杂性，即使hack拿到密码也不容易逆转破解；后台目录务必重命名，越复杂最好；关注官方网站，跟相应的杀毒软件，定时修补补丁，定时查杀多余php文件；

后台设置，删除多余会员，关闭会员功能，系统基本参数-会员设置，互动设置等限制；

精简设置，不需要的功能都删掉，每个目录下加一个空的indexhtml,防止目录被访问；可删除的功能：member，special，install（必删），company（企业模块），plus\guesbook留言板等一般用不上的功能；

可以删除不必要但容易受攻击的文件（再文件夹下搜索即可）：file_manage_controlphp，file_manage_mainphp，file_manage_viewphp，media_addphp，media_editphp，media_mainphp,downloadphp(没有下载功能)，feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。

为了防止HACK利用发布文档，上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)

织梦权限设置，

1>include,plus,member等附加组件 可读取 不可写入 执行脚本（纯脚本）

data、templets、uploads,images 可读写 不可执行（执行权限无）

2>设置iis权限，去掉user权限，自己设置一个权限；目录设置、不允许执行脚本：

织梦关闭自定义表单前台预览，删除友情链接申请功能；网站提交登陆一定要有验证码，防止hack暴力破解，提交。

也可以使用第三方安全插件：如360网站卫士，DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击：系统—病毒扫描—开始扫描，删除织梦系统以为的php文件；

1、data、templets、uploads、a这几个文件设置为可读不可执行权限。a文件保存的是默认的html文件看，可以在后台修改。

2、include、member、plus、dede设置为可读可执行不可写入权限。dede文件夹修改别的名字，这是后台默认登录地址后缀名，用过的织梦的都知道，所以改了吧。

3、如果你的网站没有没有会员登录，专题。可以删掉member、special这两个目录。

4、安装完织梦程序之后，删掉安装的文件install。

5、织梦后台登陆默认登录账号密码都是admin，不要以为把dede文件夹名称改了就以为防患于未然了，一定要做到位。

6、Mysql数据库链接，不使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限。

7、定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复。万一哪天我们的站被黑了，清空了，还能再上传到服务器，完好无损。

8、plus目录删除 ，可以安装一些安全插件。如果是做企业网站用不到会员登录，专题。可以删掉member、special这两个目录。

建议最好还是经常性备份网站,这样才是最安全的。

一共是两大步，

首先是常规选项。常规选项中需要改动的地方不大，除了栏目标题和路径，其他的完全可以不改。

修改栏目的常规选项

可以选择为频道封面

　　当然，因为单页类栏目本身是不用发表文章的，所以栏目属性使用“频道封面”倒是似乎更加贴切一些，以后更新的时候可以一目了然。

　　其实不进行修改也是可以的，因为这里并不关键，关键的是下面的高级选项的设置。

　　其次是高级选项。高级选项中，有设置模板的地方。这里就需要注意了，因为不管是我们选用“频道封面”还是“最终栏目列表”，其默认的模板都是无法实现我们要制作的单页内容的，那么我们就需要自定义一个模板。假设我们使用singllepagehtm来实现单页面的调用，那么我们就需要对其模板进行设置，如果是选频道封面就修改频道封面，反之则修改最终栏目列表。以“最终栏目列表”为例，如图：

高级选项中修改模板设置

　　最后是栏目内容。栏目内容，就是我们实现动态更新的栏目内容了。我们看到，dedeCMS提示我们栏目内容是替代原来栏目单独页的更灵活的一种方式，可在栏目模板中用{dede:fieldcontent/}调用，通常用于企业简介之类的用途，所以我们只要在这里添加企业简介之类的内容，就可以了。而不用笨拙的去修改静态页面。

　　一切妥当之后，我们进行第二大步——修改singlepagehtm模板。

　　修改模板很简单，我们找到templets路径下相应模板分类的singlepagehtm，然后我们对其进行编辑，我们看到，原始的singlepagehtm是调用的{dede:fieldbody/}这里是调用普通文章的内容，我们要做单页模板，只要修改调用的地方为{dede:fieldcontent/}就完事大吉了。

修改模板的调用内容

　　我们看到还有个相关页面，这里我们弃之不用倒显得浪费了。

可以利用起来的相关页面

　　我们也可以对其进行一番改造，调用处相关的一些单页类的栏目来起到增加内链的作用。调用很简单，假设我们企业简介的ID为1，其他单页类栏目ID分别为2、3、4的话，我们可以这样写来实现这些栏目的调用：

　　{dede:channelartlist typeid='9,12'}

　　{dede:type}

　　[field:typename/]

　　{/dede:type}

　　{/dede:channelartlist}

　　保存，生成栏目就可以看到效果了。当然默认的模板是有些寒酸，不过我们可以自己制作模板让其更加美观一些，那就看你CSS运用的怎么样了！我们看一个效果比较美观的：

通过栏目内容调用的单页面

　　如果你有更好的方法来制作可以动态更新的单页的话，欢迎大家留言板留言，本站感激之至。

　　好今天的dede每日一课就到这里，欢迎大家关注其他的中国SEO的dede建站每日一课的内容。同时，我们热烈欢迎会员和学员投稿，具体的投稿方式为，先注册会员，然后点击发布文章即可，如果通过审核发布成功，本站将会有小礼品相送哦！~

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。