2014最新DedeCms如何防止入侵

首先进系统---系统设置----系统错误修复，修复了之前生成的错误页面。

　　然后进入系统---系统设置---系统基本参数------其它选项-----自动提取关键字--选择否--保存。

DEDE56的一个新BUG

1、登录PHPmyadmin登录phpmyadmin，找到忘记密码网站所在的数据库并打开2、打开dede_admin数据表：找到dede_admin这项如图，pwd下的值就是你的密码，织梦密码采取的是MD5加密，破解麻烦而且没有必要，重置简单最快！3、重置管理员密码为admin：dede_admin这这项表下，点“编辑按钮”，进入数据表编辑状态，将“pwd”后面的这项值修改为f297a57a5a743894a0e4，这串数字就是织梦的默认密码admin。建议直接复制进去，修改好后，点执行，这时候密码就已经重置成功了，可以登陆后台了4、登陆后台修改密码：直接用默认用户名和密码是不安全的，需要修改，登陆你的织梦后台地址：用户名admin，密码admin。数据库密码修改，修改data目录下的 commonincphp文件即可DEDECMS如何修改数据库密码以及忘记了后台密码怎么办

标签：

　　1 安装的时候数据库的表前缀一点要改一下，不用dedecms默认的前缀dede的,可以改成,自己的名字或者o或0以假乱真的写法。

　　2 后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

　　3 装好程序后务必删除install目录。

　　4 将dedecms后台管理默认目录名dede改掉。

　　5 用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

　　6 以下一些是可以删除的目录：

　　member　会员功能

　　special　专题功能

　　company　企业模块

　　plus\guestbook　留言板

　　以下是可以删除的文件：

　　管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全。file_manage_controlphp file_manage_mainphp file_manage_viewphp media_addphp media_editphp media_mainphp

　　再有：不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。

　　不需要tag功能请将根目录下的tagphp删除。

　　不需要顶客请将根目录下的diggphp与diggindexphp删除。

　　7 多关注dedecms官方发布的安全补丁，及时打上补丁。

　　8 下载发布功能（管理目录下soft__xxx_xxxphp），不用的话可以删掉，这个也比较容易上传小马的

　　9 最安全的方式：本地发布html，然后上传到空间。不包含任何动态内容，理论上最安全，不过维护相对来说比较麻烦。

　　10 还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉。所以还得记得时常备份数据！

　　11 添加DedeCms官网出的万能安全防护代码(官网的要会员才能看)，打开config_basephp文件，

　　找到以下这段代码：//禁止用户提交某些特殊变量$ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);}}改为下面这段代码：//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(!empty($value)){${$ckv}[$key] = str_replace(‘<''','&''lt;''',$value);${$ckv}[$key] = str_replace('''>‘,’’’&’’gt;’,${$ckv}[$key]);}if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);}}//检测上传的文件中是否有PHP代码，有直接退出处理if (is_array($_FILES)) {foreach($_FILES AS $name => $value){${$name} = $value['tmp_name'];$fp = @fopen(${$name},’r');$fstr = @fread($fp,filesize(${$name}));@fclose($fp);if($fstr!=” && ereg(“<\”,$fstr)){echo “你上传的文件中含有危险内容，程序终止处理！”;exit();}}}

　　注意事项

　　• 网站安全是一点要的，要不然自己辛辛苦苦做的网站，让黑客入侵了修改了一些重要的信息，排名就会下降。

　　• 日志分析隔三差五的去做，这个可不能闲着，在日志分析中可以精确的得到一些重要的信息。

1、织梦后台五个区域所对应的模板(dede后台模板):

常用:A区域顶部LOGO行对应文件:/dede/templets/index2htm常用和/dede/templets/index_top2htm

B区域顶部LOGO下的黑色背景行对应文件:同上

C区域主体左侧对应文件:/dede/templets/index_menu2htm左侧主链接和/dede/inc/inc_menuphp常用主链接下的次链接、/dede/inc/inc_menu_mapphp主链接下的次链接、/dede/inc/inc_menu_modulephp模块和插件次导航

D区域主区域部分对应文件:/dede/templets/index_bodyhtm

E区域后台公用底部对应文件:同上

2、dede后台模板文件还有三个分别是不常用:

/dede/templets/index_body_movehtm 对应D区域,后台首页的主体区模板不常用

/dede/templets/index_body_showadhtm 对应后台首页主体部分最上方的红色“DedeCms安全提示”部分,如提示data目录转移等。

/dede/templets/index_body_showauthhtm 对应后台首页程序作者信息的部分

3、dede后台模板/织梦后台模板风格修改

①修改后台logo,该位置:/dede/images/style1/admin_top_logogif 修改该为你想要的内容,覆盖即可

修改该alt属性:在index2htm中找到下面这段代码

<div class="top_logo">

<img src="images/style<php echo $cfg_admin_skin;>/admin_top_logogif" width="200" height="37" alt="DedeCms Logo" title="Welcome use DedeCms" id="topdedelogo" />

</div>

将alt="DedeCms Logo"和title="Welcome use DedeCms"内的值分别修改成你想要的内容即可如：

alt="郑州旭网科技" title="欢迎来到旭网后台管理系统"

②修改区域A右侧部分内容及B区域部分。在index2htm文件中进行修改。欢迎语及导航均可在此处进行修改。

如果想要更加方便客户在此处如：

<li>

<a href="#" onclick="JumpFrame('index_menuphp','catalog_dophpcid=1&dopost=listArchives');" style="color:#FFFFFF;">

行业新闻

</a>

</li>

当你放其他栏目时直接上面的cid=1的值1更换为新的栏目id值，链接名称修改掉即可。

某篇文章内容编辑页面，例如。

<li>

<a href="#" onclick="JumpFrame('index_menuphp','archives_dophpaid=8&dopost=editArchives');" style="color:#FFFFFF;">

公司简介

</a>

</li>

修改时，直接修改上面的aid=5部分，将5换为你想要文章的id值，链接名称换掉即可。

两则的区别主要就是在链接地址上：

栏目的：'catalog_dophpcid=栏目的id值&dopost=listArchives

文章或独立页面的：archives_dophpaid=文章的id值&dopost=editArchives

其他没用的如“会员中心”“快捷方式”，及B区域的全部都可删掉或者注释掉。注意保留：“功能地图，方便以后操作”

③左侧修改，最左侧一列主导航在/dede/templets/index_menu2htm中修改，次链接在/dede/inc/inc_menuphp及/dede/inc/inc_menu_modulephp中修改

这个提示并不是系统错误或者是BUG，而是CMS系统的一种安全防护。

提示解说：CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

解决方法：简单讲，出现这个提示，就是当前使用的CMS系统中修改的网页有验证内容，当检测非原网站的链接时，就会有这样的提示，需要自行修改dede目录中的tplphp页面内，相关的CSRF验证代码。

首先找到apache的配置文件httpdconf，通常情况下，该配置文件在apache安装目录下的conf文件夹。

打开httpdconf文件。

将需要限制执行脚本文件的目录配置添加到下方：

配置内容为：

（1 ）  <Directory "DIR">         

（2 ）   <FilesMatch "(php|asp|jsp)$">         

（3 ）       Deny from all         

（4 ） </FilesMatch>     

（5）    </Directory>    

  配置内容中的DIR为需要限制执行脚本文件的目录，FilesMatch后的内容为需要限定的执行的脚本后缀名。

5在配置完成后，重启一下apache，配置便生效！