新手用织梦（dedecms）建站如何做好安全措施

首先可以明确的告诉你，DedeCMS的0day漏洞很多，而且也有一年多时间没有维护了。所以网上“流传”DedeCMS不安全、漏洞多是真实的情况，但这也洽洽说明dedecms在以前的确很火。

DedeCMS后台功能上是很齐全的，而且操作起来简单，用来二次开发也比较容易，所以在前几年受到不少套网站的程序员的热爱。正因为如此，再加上它是开源的，所以不少人发现漏洞后就开始攻击基于这款CMS的网站，每次一曝出漏洞，受到影响的网站很多。

考虑到现在官方也没维护了，所以建议大家选择其它CMS，比如PHPCMS在安全性上就给DedeCMS要好得多；而且现在PHP版本都比较高了，DedeCMS在这些高版本的PHP环境下运行会存在一些兼容性问题。

如果你的网站现在用的就是DedeCMS那建议作好安全加固措施，比如：

若网站没有交互，可以全站生成静态页，然后静态页单独部署，将后台和前台分离，这样别人无法攻击动态脚本；

源码目录权限严格控制，避免权限过大导致的非法文件可以上传或者可执行。

综上，DedeCMS不建议选择。

后台主页要读取官方升级信息和网站安全信息，统计信息。这些都是要经过数据库和dede官网的一些文件，所以慢了。

解决方法：如果这些统计信息对自己不需要的话，建议在后头模板中把这块去掉即可解决！

1、data、templets、uploads、a这几个文件设置为可读不可执行权限。a文件保存的是默认的html文件看，可以在后台修改。

2、include、member、plus、dede设置为可读可执行不可写入权限。dede文件夹修改别的名字，这是后台默认登录地址后缀名，用过的织梦的都知道，所以改了吧。

3、如果你的网站没有没有会员登录，专题。可以删掉member、special这两个目录。

4、安装完织梦程序之后，删掉安装的文件install。

5、织梦后台登陆默认登录账号密码都是admin，不要以为把dede文件夹名称改了就以为防患于未然了，一定要做到位。

6、Mysql数据库链接，不使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限。

7、定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复。万一哪天我们的站被黑了，清空了，还能再上传到服务器，完好无损。

8、plus目录删除 ，可以安装一些安全插件。如果是做企业网站用不到会员登录，专题。可以删掉member、special这两个目录。

建议最好还是经常性备份网站,这样才是最安全的。