如何做好网站安全工作

我自己是做网站的，回答一下你的问题吧：

一、dedecms系统本身分开源和商用两类，一般建站的人都是使用的开源的，如果你是联系dede做的话就是商用版。2个版本差异不大，主要是二次开发服务，商用版提供得更多。你找的这类做网站的公司，应该是使用的开源版，这个问题不大。

二、交付网站的时候，需要注意几点：

1、对方是否按照需求书要求进行建站，所有功能是否实现。最好做一个穿越测试，测试通过，未现BUG即可。如果有BUG但是你交付后才发现，这就要看你们的后续服务协议如何规定的了。我个人一般是无所谓，有问题，即使你付款了，我还是会给你弄好。

2、各个浏览器是否兼容。目前各种浏览器的使用者都有，IE、chrome、Firefox都有使用者。IE使用者又包含IE6、IE7、IE8等。不同浏览器对网页布局的兼容性不同，很可能出现在IE7下显示正常的网页，在IE6下出现错位等等情况。因此，你需要验证不同浏览器下，显示是否存在异常。有异常的，要让对方修改，确保各种浏览器下显示的网页均一致，且正常。

3、确认后续服务和维护协议。网站交付后，在添加/发布信息时可能出现问题，该公司需要给你们一个操作手册之类的说明文档；网站SEO方面，是否包含在售后协议中；如果网站被挂马，如何处理（响应时间、恢复时间、恢复方法）；网站数据定期备份，备份后数据是你们保存还是该公司保存；域名、服务器（或虚拟主机）何时到期，到期后的续费流程是什么；其他故障的应急方案（比如主机或服务器上有无IIS限制，如果超过访问数如何处理等，再比如服务器提供商方出现问题，导致所有数据丢失，此时应当如何处理等等）我只是随便列举了几项，更多的要根据你们的实际情况于对方约定好。

4、将域名提供商、服务器（或虚拟主机）提供商的信息告知你。同时，域名的管理密码，服务器访问地址、账号和密码（虚拟主机则至少提供FTP的账号、地址、密码信息），数据库账号密码告知你。一般在维护协议中，约定了后续域名和服务器（或虚拟主机）续费是做网站的一方在到期前联系你，让你转账支付，但是这个有弊端（比如对方忘记了，或者你忙，当时没有及时转账，导致域名到期网站无法访问等情况），所以最好你自己掌握这些信息，届时你可以自己去续费。

有什么疑问再补充提问吧

dedecms漏洞危害主要有：

1泄漏管理员密码和所有网站数据，用户辛苦搭建的网站被人窃取，或公司网站丢失商业数据。

2被黑客上传恶意程序，并用于攻击其他网站。该恶意程序将瞬间消耗完服务器带宽，无法提供正常服务。

为降低dedecms受漏洞影响被黑的可能，请进行以下操作：

1更改管理员密码，加强密码强度

2更改后台管理地址

3关注官方论坛，第一时间更新dedecms补丁

4使用腾讯电脑管家等安全软件对利用该漏洞的钓鱼盗号网站进行拦截。

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

你登陆地址应该是 http://你的域名/dede (前提是你没有改过后台文件夹名称)，如果你登录的后台地址后面跟了一大串的 登录就会提示错误，他是防止被盗的，只有是 http://你的域名/dede 的形式才可以登录

这是肯定的，本身DedeCMS 织梦内容管理系统软件的被广泛应用普及跟广大用户的思维里面这个系统不收费有关，很多用户是冲着织梦的简单易上手、常见的问题可百度到解决方法、感觉它是免费的心理有关。

其一、9月26号织梦官方突然决定收费，并从2021年10月25号开始维权。对于一个已经在市面上出现10年之久积累了大批量用户的一个内容管理系统软件突然决定强制收费来讲，这个决定无疑让广大的站长和网站管理者感到突然。

其二、织梦官方对本次DedeCMS商业使用授权费高达5800元，这个费用对于中小用户或者业务DedeCMS 使用者是不太好接纳的，因为其他CMS 内容管理系统单个域名的授权费用大多为100-400元不等，5800元的单域名授权费用显然是相对较高的。同样作为一个软件和网站应用服务提供商我深知作为技术服务提供者需要支付人员办公等日常开支，应该需要用户支付一定的报酬，但是建议这个报酬应该在行业适中水平或者用户接受的范围内，这样显然能减少用户流失和怨声载道之声。

其三、很多织梦用户应该都遇到过网站被恶意挂马或者中毒的情况，虽然最终都得以解决，但是对于网站安全这一重中之重的问题站长们一定特别在意，因为有时数据本身比网站授权费更重要，之前可能大家还能接受，但是如果既需要缴纳相对高昂的授权费，还要随时准备着处理网站安全问题，很多站长可能就选在放弃织梦而投身其他CMS 管理系统了。

其四、现在已经不同于10几年之前，DedeCMS 作为老牌内容管理系统如今已经面临着很多CMS 管理系统的竞争，而且很多CMS 已经拥有了很多的应用开发者生态圈也获得了很好的口碑，这些CMS 或者免费或者相对仅需几百块的商业使用授权费。这样的局面显然对织梦的本次声讨版权付费造成用户流失到其他CMS 管理系统。

其五、很多有技术实力的网络公司或者技术从业者完全可以在完全保留网站数据的情况下，将网站的DedeCMS 织梦内容管理系统更换为其他的 CMS管理系统，这对于网站的使用和SEO排名营销推广完全也没啥影响。当然更有甚至对于网站数据不太注重的用户可以直接应用插件将网站的DedeCMS 织梦内容管理系统刚换掉。

以上是作为一个网站技术服务商对于DedeCMS 织梦内容管理系统开始商业授权问题的看法，欢迎广大的技术爱好者和服务商深入探讨，也欢迎有DedeCMS 织梦内容管理系统相关问题的用户和我们交流。

首先查看程序根目录中有没有indexphp这个文件，如果没有，去官方下载一个完整数据包，把indexphp复制过去一个。

如果有这个文件，那么通常是模板路径不对，先登录后台选择系统，点击数据库备份还原，选择还原数据库，等还原成功之后，去到基本参数设置那里，把网站风格那个选项里的值随便改成别的点击确定，然后再改回来，点击确定，然后再一键更新整站，这样就好了