如何做好网站安全工作

　　接触帝国cms已经有一些时间了，最近又接触了dedecms，下边就说说最新的感受。

　　1首先从模板方面来说，dedecms的免费模板还是比较多的，这个得益于广大的dede用户共享。dede的官方模板可以直接使用。而帝国的官方提供的模板是table格式的，比较偏老了。当然如果你有一定html和css基础的还是自己来做的好，毕竟dedecms官方默认模板对于百度收录来讲并不是很好了现在。

　　2论坛的人气，帝国cms和dedecms的人气还都可以，热心程度感觉帝国cms比dedecms高些。

　　3版本的更新，帝国以大版本形式更新，dedecms以小版本形式更新，总体来说dede版本快于帝国。

　　4安全方面：dedecms关注的人比较多，市场占有率相当的高，因而成为黑客的挂马对象，入侵率比较高，容易被黑，而帝国cms而言安全方面则比较好。

　　5说说使用者最关心的模板制作方面：dedecms的模板标签设计相对帝国cms来说比较更容易入手，从本人自己制作的网站对比，相同的模板页数，dedecms的模板制作速度要快于帝国cms。

　　6seo优化方面，dedecms要比帝国cms稍胜一筹。

　　7伪静态生成速度，由于小数据量，无法对比出效果。不过从帝国cms最新的动态来看，才用新结构的帝国cms对于海量数据的处理更有优势。

　　8模板修改方面，由于帝国的模板在后台进行编辑，要比dedecms的更方便修改。

　　9个人对比，两个站分别用dedecms和帝国cms收录相对较快的是帝国cms，这个可能跟网站性质和结构内容运作也有关系。

　　Dedecms55整合UChome、Discuz实现同步登陆安装说明：

　　一、环境搭建

　　DedeAMPZ 是直接整合PHP + Apache + MySql 的服务器环境管理软件。主要具有如下特点：

　　1、支持php4、php5、MySql4、MySql5、Apache22、Zend Optimizer-330；(完整版)。

　　2、安装使用十分简单，并支持在php4与php5中切换；

　　3、经过专业的处理后，使你配置apache+php的站点更简单；

　　本地测试，先安装DedeAMPZ。

　　二、安装dedecms

　　将upload文件夹下所有文件拷贝到DedeAMPZ/WebRoot/Default目录下。

　　打开浏览器，在地址栏理输入http://localhost/install/indexphp后运行。

　　勾选“我已阅读并同意协议”后点击“继续”，进行安装。

　　将所有模块勾选。

　　数据库设置：数据库用户，root；密码：123456，这个和前面的一致。

　　注意：

　　对于“数据库主机”、“数据库名称”、“数据库用户”及“数据库密码”，如果是在服务器上安装，这些是你买空间时空间商提供给你的，要注意后面的几个安装过程都要求填写这些，一定不要填错了，否则是无法安装的。

　　管理员admin，密码admin。点击“继续”，进行下面的安装。

　　安装完成以后在浏览器地址栏输入http://localhost/dede/loginphp运行，进入dedecms后台登陆界面，用户名、密码就是你在管理员初始密码栏目下设定的。

　　进入后台后打开“生成”栏目，点击“更新主页HTML”生成网站主页，然后退出后台管理界面。再打开浏览器，在地址栏理输入http://localhost/ 运行就可以看到dedecms默认的网站主页。

　　三、UCenter的安装

　　下载ucenter，将其文件夹更名为ucenter，将ucenter文件夹放在DedeAMPZ/WebRoot/Default目录下。

　　打开浏览器，在地址栏理输入http://localhost/ucenter/install/indexphp运行，即可进入UCenter的安装向导界面。

　　点击“我同意”用户协议。

　　以上是进行环境以及目录、文件权限检查之类的，这些就不要操心啦，电脑会给你做好的，只要每个项目后面都打了勾，要做的就是点击“下一步”了。

　　数据库服务器、数据库名、数据库用户、密码等都是和前面的相同，注意UCenter创始人的密码一定要记好，以后是要用到的。

　　成功安装后，点击“安装用户中心成功，点击进入下一步”按钮，进入Ucenter用户管理中心登陆界面，可以输入你刚才设定的UCenter创始人的密码，进入UCenter用户管理中心。

　　四、Uchome的安装

　　下载Uchome，将其文件夹更名为Uchome，将Uchome文件夹放在DedeAMPZ/WebRoot/Default目录下

　　先把Uchome文件夹下的confignewphp文件名改为configphp。然后打开浏览器，在地址栏理输入http://localhost/uchome/install/indexphp运行，即可进入UChome的安装向导画面。

点击“接受授权协议，开始安装UCenter home”按钮开始下一步安装。

　　UCenter的URL：http://localhost/ucenter 如果是在服务器上安装，把localhost换成你的空间域名。创始人密码即使你上面安装Ucenter时所设定的密码。

　　Ucenter注册成功，点击“进入下一步”按钮继续安装工作。

　　数据库服务器、数据库名、数据库用户、密码等都要和前面的一致，填好后点击“设置完毕，检测我的数据库配置”进行数据库配置检测。

　　数据库配置成功，继续下面的安装。

　　在这里可以设定管理员的用户名和密码，开通管理员的空间设用户名：admin，密码：admin。

　　然后可以进入管理员空间和进入管理平台了。

　　五、Discuz!安装

　　下载discuz，将其文件夹更名为BBS，将BBS文件夹放在DedeAMPZ/WebRoot/Default目录下。

　　打开浏览器，在地址栏理输入http://localhost/bbs/install/indexphp运行，即可进入Discuz!的安装向导界面。

　　以上是进行环境以及目录、文件权限检查之类的，这些仍然是不要操心的啦，电脑会给你做好的，只要每个项目后面都打了勾，要做的就是点击“下一步”就好了。

　　填上你的UCenter创始人密码，Ucenter的URL自动生成的，已经不需要劳你的大驾啦，点击“下一步“按钮继续。

　　把数据库用户名改成root，密码即是前面设的123456。管理员帐号admin密码admin。 注意服务器上安装时数据库服务器、数据库名、数据库用户、密码等都要和前面的一致，填好后点击“下一步”进行数据库配置检测及安装。

　　好了，至此我们要暗转的软件全部安装完成。

　　六、软件的整合

　　现在我们已经完成了dedecms、ucenter、uchome、discuz！的安装了，下面要进行的工作就是把dedecms、discuz！及uchome通过ucenter整合到一起以实现资源整合并且使三个网站的会员要能够实现同步登录及退出。

　　首先，我们通过浏览器访问 http://localhost/ucenter/indexphp，打开ucenter用户管理中心登录界面，输入你的创始人密码后进入ucenter用户管理中心。

进入管理中心后，我们点击“应用管理”后可以发现，uchome、discuz！已经与ucenter“通信成功”了。 这是因为在安装uchome、discuz！的时侯，安装程序已经帮助我们配置好了，但是别高兴太早啊，呵呵，仔细看看，找到dedecms了没有？没有。怎么办呢，这时需要通过dedecms后台中的ucenter模块进行Ucenter配置。

　　然后，在浏览器地址栏输入http://localhost/dede/loginphp，打开后台管理登录界面，输入密码后进入dedecms后台管理。

　　dedecms后台管理界面的左侧导航栏，点击“模块”标签，注意下面的“UCenter模块”。

　　点击“UCenter配置”，进入以下页面。

　　“服务端地址“填：http://localhost/ucenter （本地机），创始人密码即是你在安装UCenter时设定的创始人密码；服务端IP地址填你的Ucenter安装的空间IP（本地机填127001），输入后点“确认安装”。出现安装成功提示。

　　退出dedecms管理后台，再次进入UCenter用户管理中心，这时我们会发现在“应用管理”中多了一项“我的网站”，并且显示的是“通信成功”了。

　　我们再通过浏览器访问http://localhost/uchome/indexphp， 用管理员的账号进入Uchome首页，点击“设置”进入另外一页，再点击右上角的“高级管理”，输入密码后点击“进入平台”进入高级管理平台。

　　在左侧导航栏的“高级设置”中找到一项“UCenter应用”点击进入。

　　在这里我们可以看到我们加入的三个应用，分别点击三个应用下面的“提交更新“。退出管理界面，现在我们再回过头去测试一下看就可以同步了。

　　七、经验总结及疑问

　　如果没有做到Dedecms、UChome、Discuz!中同时登录及退出的问题其关键就是在uchome中的“ucenter应用”中没有“提交更新”。

　　有时候安装dedecms、uchome或ucenter出现问题安装不了或出错等等，有的很多就是环境没有搭载好，所以我建议就安装dedecms提供的DedeAMPZForServer套件，至少在服务器的搭载上我们不需要花费太多的精力。

　　另外注意的是UCenter的配置。比如“通信密钥”是否一致。这个一般是导致 UCenter 与Dedecms、UChome、Discuz!等通信失败的主要原因之一。这个密钥是可以自己随便写的，但要保证 UCenter 与 DIscuz 的密钥一致。又比如“ID”。查看 UCenter 后台的应用 ID 是否与Dedecms、UChome、Discuz!等后台的 ID 一致，如不一致，请修改各个应用后台的"UCenter 应用 ID"。这个也是导致 UCenter 与 DIscuz 通信失败的主要原因之一。关于UCenter的配置等这一点可以参考UCenter官方提供的说明手册。

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

找到include目录下面的userloginclassphp文件，用代码编辑器将它打开，在第二行session_start();前加上以下代码：

{

session_id($_POST["PHPSESSID"]);

} else if

(isset($_GET["PHPSESSID"])) {

session_id($_GET["PHPSESSID"]);

}

把文件保存，传上去覆盖即可