關于dedecms的安全，安全加固設置要做好

（文章來源：陸柏熺）

記得是2013左右周鴻祎在一次什么大會上說了這樣一句話，大概意思就是：dedecms是對站長不負責的程序，程序漏洞官方?jīng)]有及時修復導致很多的網(wǎng)站被掛馬。正因為如此，關于dede安全問題就越傳越離奇，一提到織夢程序，大家首先想到的就是這個網(wǎng)站系統(tǒng)不安全，而實際上并沒有那么不安全！

我遇到過的dedecms被掛馬的幾乎都存在同樣的安全設置問題，都是使用windows server 2003或2008系統(tǒng)，虛擬主機未禁用相關權(quán)限，都是使用iis作為web服務器，沒有及時更新官方提供的安全補丁。被掛馬的幾乎都是中了一句話木馬，修改首頁跳轉(zhuǎn)到其他的網(wǎng)站上，被流量劫持；還有被人做站中站，上傳很多純靜態(tài)的網(wǎng)頁，解決方法如下。

使用windows服務器幾乎都難逃dede被掛馬的命運，尤其是老舊的2003和2008版本，如果還在使用這種低版本服務的建議升級，至少也要升級到windows server 2016版本以上，我的一個網(wǎng)站站使用的是win2008，重做了好幾次系統(tǒng)依然被人修改首頁跳轉(zhuǎn)到別的網(wǎng)站。實操經(jīng)驗是：升級服務器系統(tǒng)到win2016以上，棄用默認的web服務器iis，使用nginx作為web服務器，設置好nginx相關的相關的安全。

win服務器相對于Linux來說安全性真的較差一些，而且大部分被人攻擊都是首先服務器有漏洞，我的win服務器居然被人添加了一個和administrator一樣權(quán)限的賬戶，更換了nginx并把iis卸載后沒有出現(xiàn)被掛馬的問題了。

web服務器環(huán)境盡量自己搭建，并安裝服務器安全軟件，目前免費的有安全狗、主機大師等，設置網(wǎng)站相關的讀寫權(quán)限，禁用沒有用的端口號。另外不建議直接使用一些PHP集成環(huán)境來搭建網(wǎng)站，比如大家熟悉的PHPnow、寶塔、護衛(wèi)神及西部數(shù)碼建站助手等，這些集成環(huán)境本身的安全性較弱，如果一定要使用注意及時更新。建議web環(huán)境手動搭建配置，一個PHP環(huán)境的搭建網(wǎng)上有很多教程，一次學會終生受益，別老想著用現(xiàn)成的，那些被掛馬的網(wǎng)站大多都是使用了集成環(huán)境，同時建議經(jīng)常安裝win提示的各種更新有利于提高服務器的安全。

網(wǎng)站程序方面的漏洞問題是不可避免的，只有設置好也沒有什么問題，首先后臺提示的安全設置一定要改。比如上圖中的這個提示，按照要求去設置一下，我之前就看到一個人他的這里也不舍得去改一下，結(jié)果被掛馬了你能怪得了誰啊，這種顯而易見的問題你不做安全處理這不就相當于有鎖你偏不鎖門嗎，修改網(wǎng)站后臺登錄地址也屬于必須。

修改dedecms默認的數(shù)據(jù)庫表前綴，默認是dede_這樣的，在新安裝網(wǎng)站程序是不安裝測試數(shù)據(jù)，并且修改數(shù)據(jù)表dede前綴為其他的，這樣可以防止別人直接就知道你的數(shù)據(jù)表前綴是什么。如果已經(jīng)使用了一段時間的網(wǎng)站則可以通過備份數(shù)據(jù)庫，修改備份數(shù)據(jù)里面的表前綴，修改datacommon.inc.php文件 $cfg_dbprefix = ‘dede_’; 將dede_修改為新的表前綴，然后恢復備份的方法來修改整站數(shù)據(jù)表默認的dede。

對于沒有會員登錄注冊的網(wǎng)站可以直接件member文件夾刪除，經(jīng)常關注最新的漏洞信息并加以修復，以上這些就是關于dedecms安全加固的方法。

織夢網(wǎng)站系統(tǒng)并沒有那么的不安全，相對于其他一些不太知名的網(wǎng)站系統(tǒng)來說安全性還是很高的，主要的原因是使用的人太多，會有人專門針對織夢系統(tǒng)研究相關的漏洞，從而做一些不光彩的事情，做好上面的工作基本上就沒有問題了。世上沒有完美系統(tǒng)，只是相對安全，如果這樣還是不行，那估計是你的網(wǎng)站價值太搭了，有人盯上你了，對于技術一般的小白黑客還能扛得住，如果是大牛那你最好想想是不是哪里得罪過人家吧。
? ? ? ?