如何做好网站安全工作

织梦DedeCms全站伪静态，是为了更方便管理和SEO，织梦DedeCms默认是生成静态html文件的，对于优化已经非常友好，但还是有部分页面是动态形式的（比如：Tag标签页面、网站内容搜索页面、DedeCms问答页面等），为了是这些页面更好的被搜索引擎收录，就需要进行伪静态了，虽然织梦DedeCms系统可以生成静态html文件，但如果每天更新内容量特别大的话，对于生成html文件也成为系统和人力的一个负担，那么也可以做成伪静态形式，这样就免去了不断繁琐的生成html文件了。

将DedeCms全站静态化，这就需要mod_rewrite伪静态模块的支持。只要站长对htaccess正则表达式精通，就可以把dede整站静态

化，更符合搜索引擎，而且还可以避免重复URL来。DedeCms全站伪静态配置有些麻烦，主要是需要我们手动修改源代码。整理步骤如下：

1、首先开启站点伪静态功能。登录dede管理员后台->系统->系统基本参数->核心设置->是否使用伪静态 请选择“是”。

2、修改源程序，实现首页伪静态、频道页伪静态、列表页伪静态、文章页伪静态，这是过程比较复杂，不如其它php开源程序操作简单。

3、制作编写htaccess和htaccess文件规则，上传到DedeCms的安装目录。

织梦DedeCms全站伪静态教程:含列表|文章|问答|搜索|TAG伪静态规则：

1、网站服务器和网站空间是否支持伪静态：

这点特别重要，要么所以设置都不起作用。如果你的网站使用的是服务器，那么就可以自己动手设置一下，如果是空间的话，可以询问下IDC服务商客服，看是否

支持伪静态（一般空间都是支持伪静态的）。Apache服务器伪静态相对简单，直接在htaccess文件中加入相应伪静态规则即可；而IIS服务器伪

静态的实现，则需要加载Rewrite组件，然后配置httpdini文件。

2、开启DedeCMS伪静态：

1)织梦DedeCms后台-系统参数-核心设置-是否使用伪静态：选择“是”；

2)如果你启用了织梦DedeCms问答模块，则在后台-系统参数-模块设置-是否使用Rewrite：选择“是”；

3)创建栏目或批量增加栏目时，栏目列表选项：选择“使用动态页”； 添加新文章时，发布选项：选择“仅动态浏览 ”。同样你也可以更改他们的模板，让他们默认就是这两个值，一劳永逸。修改方法很简单，方法如下：

找到后台文件：/dede/templets/catalog_addhtm 修改添加栏目时默认“使用动态页”

<td height="26" style="padding-left:10px;">栏目列表选项：</td>

<td><input type='radio' name='isdefault' value='1' class='np' checked="checked" />链接到默认页

<input type='radio' name='isdefault' value='0' class='np' />链接到列表第一页

<input type='radio' name='isdefault' value='-1' class='np' />使用动态页</td>

改为下面代码

<td height="26" style="padding-left:10px;">栏目列表选项：</td>

<td><input type='radio' name='isdefault' value='1' class='np' />链接到默认页

<input type='radio' name='isdefault' value='0' class='np' />链接到列表第一页

<input type='radio' name='isdefault' value='-1' checked="checked" class='np' />使用动态页</td>

找到后台文件：/dede/templets/article_addhtm 修改添加文章时默认“仅动态浏览”

<td width="90">发布选项：</td>

<td width="379"><input name="ishtml" type="radio" class="np" value="1" checked="1" />生成HTML

<input type="radio" name="ishtml" class="np" value="0"/>仅动态浏览 </td>

改为下面代码

<td width="90">发布选项：</td>

<td width="379"><input name="ishtml" type="radio" class="np" value="1" />生成HTML

<input type="radio" name="ishtml" class="np" value="0" checked="1"/>仅动态浏览 </td>

4）如果网站已经存在生成的静态栏目或文章HTML，那么只需在后台-系统-SQL命令行工具 中执行如下语句：

update dede_arctype set isdefault=-1;

update dede_archives set ismake=-1;

注：命令中dede是网站安装时的数据表前缀，根据实际情况进行替换。

3、开启DedeCms伪静态支持并不能完全在后台配置，有很多地方还是需

要手动修改的。下面讲解DedeCms全站伪静态的实现方法，适用于V53以上版本。这次的DedeCms伪静态测试环境是Windows

IIS6，对于Linux或其它服务器的伪静态实现原理都是一样的，只要搞清楚思路就行。

1）DedeCms首页伪静态：

把站点根目录下indexhtml删除，以后不更新主页HTML就可以了，当然你也可以选择不使用动态首页。

2）DedeCms频道|列表页|文章页伪静态：

主要通过修改GetFileName()、GetTypeUrl()这两个函数实现。DedeCms V53、DedeCms

V55和DedeCms V56版本，打开/include/channelunitfuncphp进行修改。注意：DedeCms

V57，此文件路径更改了，你打开/include/helpers/channelunithelperphp即可。

A将GetTypeUrl()中的如下代码：

　　//动态

　　$reurl = $GLOBALS['cfg_phpurl']"/listphptid="$typeid;

　　替换为

　　//动态

　　$reurl = "/category/list-"$typeid"html";

　　这步必须修改，即让你的频道或是列表页URL变更为/category/list-1html形式。

　 B将GetFileName()中的如下代码：

　　//动态文章

　　if($cfg_rewrite == 'Y')

　　{

　　return $GLOBALS["cfg_plus_dir"]"/view-"$aid'-1html';

　　}

　　替换为

　　//动态文章

　　if($cfg_rewrite == 'Y')

　　{

　　return "/archives/view-"$aid'-1html';

　　}

　　将文章页默认的/plus/view-1-1html链接格式改为/archives/view-1-1html，随个人喜好，不改也行。　

3）DedeCms列表分页伪静态：

　　打开/include/arclistviewclassphp，找到获取动态的分页列表GetPageListDM()函数末尾处：

　　$plist = str_replace('phptid=', '-', $plist);

　　替换为

　　$plist = str_replace('plus', 'category', $plist);//将默认的plus替换成category

　　$plist = str_replace('phptid=', '-', $plist);

　　将列表分页默认链接格式/plus/list-1-2-1html修改为/category/list-1-2-1html，这步也可以不作更改。

4）DedeCms文章分页伪静态：

　　打开/include/arcarchivesclassphp，找到获取动态的分页列表GetPagebreakDM()函数末尾片：

　　$PageList = str_replace("phpaid=","-",$PageList);

　　替换为

　　$plist = str_replace('plus', 'archives', $plist);//将默认的plus替换成archives

　　$PageList = str_replace("phpaid=","-",$PageList);

　　这步不作修改也可以，只是个人喜好问题。

5）DedeCmsTAG标签伪静态：

　　DedeCms默认的TAG标签URL，形如/tagsphp/dedecms57/，特别的难看。打开/include/taglib/taglibphp，找到lib_tag()函数下的：

　　$row['link'] = $cfg_cmsurl"/tagsphp/"urlencode($row['keyword'])"/";

　　替换为

　　$row['link'] = $cfg_cmsurl"/tags/"urlencode($row['keyword'])"/";

　　到这里，TAG标签URL中的“php”号就去掉了。

6）DedeCms搜索伪静态：

　　DedeCms搜索URL静态化比较麻烦，附带参数多不说，参数也可能变化，像搜索结果分页的URL就特麻烦，伪静态规则匹配复杂。将搜索URL中“searchphp…”直接替换为“searchhtml…”，至于“”号之后的参数以任意字符进行匹配。

　　依次打开include文件夹下的channelunitfuncphp、arcsearchviewclassphp、

arctaglistclassphp以及/include/taglib/hotwordslibphp，查找“searchphp”替

换为“searchhtml”即可。

7）DedeCms问答伪静态：

　　问答模块的伪静态实现比较简单，只要后台开启伪静态支持即可，至于个别页面，如ask目录下的browserphp、questionphp以及

include目录下的commonincphp、functionsincphp都需要简单修改才可以匹配伪静态规则。注意一

点，DedeCms V57问答模块整体升级了，之前的规则已经不适用了。

4、DedeCms伪静态规则：

依照上面的步骤修改完毕，接下来配置好httpdini文件和htaccess文件伪静态规则，则DedeCms全站伪静态就完美实现。

1）IIS伪静态

　　打开httpdini文件，加入如下规则：

　　#首页伪静态规则，如果不使用动态首页，请勿必删除这一行，否则打开首页会出现死循环

　　RewriteRule ^()/index\html $1/index\php [I]

　　#列表页伪静态规则

　　RewriteRule ^()/category/list-([0-9]+)\html $1/plus/list\php\tid=$2 [I]

　　RewriteRule ^()/category/list-([0-9]+)-([0-9]+)-([0-9]+)\html

$1/plus/list\php\tid=$2&TotalResult=$3&PageNo=$4 [I]

　　#文章页伪静态规则

　　RewriteRule ^()/archives/view-([0-9]+)-([0-9]+)\html $1/plus/view\php\arcID=$2&pageno=$3 [I]

　　#搜索伪静态规则

　　RewriteRule ^()/search\html(:(\)) $1/search\php$2 [I]

　　#TAG标签伪静态规则

　　RewriteRule ^()/tags\html $1/tags\php [I]

　　RewriteRule ^()/tags/()(:(\)) $1/tags\php\\/$2 [I]

　　RewriteRule ^()/tags/()\/(:(\)) $1/tags\php\\/$2\/ [I]

　　RewriteRule ^()/tags/()\/([0-9])(:(\)) $1/tags\php\\/$2\/$3 [I]

　　RewriteRule ^()/tags/()\/([0-9])\/(:(\)) $1/tags\php\\/$2\/$3\/ [I]

　　#问答伪静态规则，适用于DedeCmsV53-56版本，需要修改几处程序

　　RewriteRule ^()/post\html $1/post\php [I]

　　RewriteRule ^()/type\html $1/type\php [I]

　　RewriteRule ^()/question-([0-9]+)\html $1/question\php\id=$2 [I]

　　RewriteRule ^()/browser-1-([0-9]+)\html $1/browser\php\tid=$2 [I]

　　RewriteRule ^()/browser-2-([0-9]+)\html $1/browser\php\tid2=$2 [I]

　　RewriteRule ^()/browser-1-([0-9]+)-([0-9]+)\html $1/browser\php\tid=$2&page=$3 [I]

　　RewriteRule ^()/browser-2-([0-9]+)-([0-9]+)\html $1/browser\php\tid2=$2&page=$3 [I]

　　RewriteRule ^()/browser-([0-9]+)\html $1/browser\php\lm=$2 [I]

　　RewriteRule ^()/browser-1-([0-9]+)-([0-9]+)\html $1/browser\php\tid=$2&lm=$3 [I]

　　RewriteRule ^()/browser-2-([0-9]+)-([0-9]+)\html $1/browser\php\tid2=$2&lm=$3 [I]

2）Apache伪静态：

打开htaccess文件，加入如下规则：

　　#提供部分规则作参考

　　RewriteRule ^category/list-([0-9]+)\html$ /plus/listphptid=$1

　　RewriteRule ^category/list-([0-9]+)-([0-9]+)-([0-9]+)\html$ /plus/listphptid=$1&totalresult=$2&PageNo=$3

　　RewriteRule ^archives/view-([0-9]+)-([0-9]+)\html$ /plus/viewphpaid=$1&pageno=$2

RewriteRule ^indexhtml$ indexphp

企业网站建设流程详细流程共7步，分别是购买域名、服务器或虚拟主机、建站系统或定制开发、网站模板或定制设计、域名备案、网站测试、最后一步网站上线。

1、域名/网址

购买域名是企业网站建设流程的第一步，这里的域名是什么？域名就是网址，比如top域名。一般100元以内价格的域名都能满足企业的需求和使用。

2、服务器/虚拟主机

我们做完网站后需要一个存放文字、、视频、源码的空间，服务器就像是一个商场，虚拟主机就像是商场里的一家店铺。个人建议 如果你的网站是纯展示型的，用虚拟主机就可以，如果网站里面的内容 、视频、需要让客户下载的文件非常多的情况下，建议用独立的服务器。选择虚拟主机，不需要搭建运行环境，购买服务器则需要搭建网站运行环境。

3、建站系统/定制开发

建站系统分为普通建站系统和智能建站系统：

（1）普通建站系统指的就是一个建站程序，需要下载它，并且把它安装到服务器或者虚拟主机上，才能搭建并使用网站，需要你另外购买域名和服务器或虚拟主机。

（2）智能建站系统重点是智能，不需要你安装，你只需要在建站平台注册账号就行了，都是包含服务器的，还送二级域名，也就是说使用这种智能建站系统，你不需要另外购买域名和服务器或者虚拟主机，如果你想拥有独特的域名网址，可以自行购买。

（3）定制开发，就是网站的后端和前端，是单独为企业的建站需求而开发的，这套系统只属于你自己的企业，只有你自己的企业可以使用，当然，如果是找的第三方网站建设公司，你需要说明这一点；如果有程序员团队就不用担心这个问题了。

4、网站模板/定制设计

关于企业网站建设流程的第4步，如果是定制设计的就可以省去这一步，因为网站定制开发的，一般都是包含这一步的，不需要企业担心，但是在谈合作的时候，一定要说明白。

（1）如果企业使用普通建站系统，需要另外下载并安装模板，模板有免费有收费的，免费的BUG多，适合个人或者懂代码的，能修改。付费的功能完善，而且BUG少，而且还支持更新和修改等。

（2）如果企业使用智能建站系统，就不需要考虑网站模板的问题，模板是包含在你购买的版本里面的，而且随时可以任意更换，也不需要懂代码，企业没有程序员也完全可以搭建网站。

（3）如果企业是自己开发或者找网站建设公司定制开发的，就不需要考虑网站模板的问题了，甚至不用考虑域名、服务器或者虚拟主机的问题。

5、域名备案

如果你是购买的国内的服务器或者虚拟主机，域名需要备案，如果是海外的，就不需要进行域名备案了。部分企业和个人，只要是国内的必须备案，但是如果是企业，建议使用国内的服务器或者虚拟主机，然后进行备案。域名备案是企业网站建设流程中不可或缺的一部分。

6、网站测试

不论企业选择了那种网站建设方式，在网站上线之前，都是需要测试的，比如整个网站的色调、架构布局、首页、栏目页、详情页、各项功能是否完善和正常

7、正式上线

第7步是企业网站建设流程的最后一步，顾名思义，也就是现在这个网站是企业的了，可以使用了，可以让顾客访问了，可以放到互联网上了，可以对外宣传了。如果在后期使用运营中，遇到问题，都是可以找客服去解决的。

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

　　一、备份数据库数据　　进入DedeCms后台 - 系统 - 数据库备份/还原 备份文件在\data\backupdata　　二、将网站上的所有数据下载下来。　　做好上面这两步就已经把网站上的所有数据备份下来了。　　但如果每次都这么备份，那是比较麻烦的，下载的数据又比较多，所以这类备份做一次就好。　　一、备份数据库数据，方法同上　　进入DedeCms后台 - 系统 - 数据库备份/还原　　二、下载相关文件　　下载数据库备份资料\data\backupdata，将backupdata文件夹下载到本地　　下载附件文件夹，将根目录下的uploads文件下载到本地。　　这个得根据你的情况，选择多少天备份一次，建议经常备份。 如果您改动了模板文件，或其他系统文件，建议重新下载到本地做进行备份。　　还原　　如果是普通还原，参照此方式：　　一、将最新的数据库备份文件夹backupdata和附件文件夹uploads上传到空间替换原有数据。　　二、进入织梦DedeCms后台 系统 - 数据备份/还原 - 数据还原　　三、更新缓存，生成所有页面。　　如果是整站还原：　　一、将最新的数据库备份文件夹backupdata和附件文件夹uploads覆盖到你下载回来的整站数据里。　　二、参考网站搬家步骤《织梦DedeCms56 网站搬家详细教程图解》　　经常做好备份就不怕灾难来了，所有的努力都付之东流了，这样会踏实点。

1、注册申请域名：一般分为com（国际域名）和cn（国内域名）等，可以到域名注册商或者到代理域名处申请，注册域名选择一个服务好，信誉好，产品好的域名服务商至关重要。比如万网、华夏、新网等

2、购买空间：即存放网站的地方，在购买虚拟主机时要看其服务、速度、响应时间等。一般选择有一定名气的服务商即可，目前国内比较好的服务商像中国万网、华夏等都是非常好的选择，不过它们的价格比一般的服务商要贵很多。

3、网站制作：可以使用dedecms和帝国cms。他们的网站有大量的网站模版可以在网络中获取。比较方便实惠。也可以找相关程序员制作自己需要的网站。

4、建站教程：网上有大量的建站教程视频可以观看，可以边看边操作，快捷方便。

5、备案上线：国外空间可以选择不备案。在有关部门备案，就可以在国内服务器上上线。