DEDE織夢(mèng)cms常用的參數(shù)標(biāo)簽匯總、以及操作過(guò)程中的一些bug問(wèn)題解決方法，dede網(wǎng)站二開(kāi)，以下龍騰飛網(wǎng)絡(luò)科技-小吳在建站實(shí)操中筆記記錄，織夢(mèng)dede建站教程保存使用非常方便：

【DEDE建站教程】織夢(mèng)cms網(wǎng)站防止木馬操作

織夢(mèng)CMS在安裝完成后，新人往往會(huì)直接開(kāi)始開(kāi)發(fā)使用，忽視了一些安全優(yōu)化的操作，這樣會(huì)導(dǎo)致后期整個(gè)系統(tǒng)安全系數(shù)降低，被黑或者被注入的概率極高，畢竟這世界百分百存在著極多的無(wú)聊hacker對(duì)全網(wǎng)的網(wǎng)站進(jìn)行掃描，掃到你的站，所以在開(kāi)發(fā)前做好安全防范還是很有必要的

安全設(shè)置前：操作前，先備份

安全設(shè)置一：刪除系統(tǒng)文件 

安裝完成后會(huì)有一些文件，可以說(shuō)是冗余文件，完全沒(méi)有作用，反而帶來(lái)被黑的危險(xiǎn)，刪除即可，以下目錄文件均可刪除：

/install 【安裝后的余留文件，沒(méi)用，整個(gè)文件夾刪除】
/member   【會(huì)員功能文件，大數(shù)企業(yè)站沒(méi)用，文件夾刪除，若需要會(huì)員功能的就不能刪】
/special  【專題功能，如果你不需要這個(gè)功能，文件夾刪除，需要就別刪，大部分是不需要的】
/tags.php 【TAG標(biāo)簽，沒(méi)有此功能可刪除】

安全設(shè)置二：網(wǎng)站后臺(tái)目錄dede要?jiǎng)h除的文件

/dede/tpl.php 【文件上傳管理系統(tǒng)文件，易被掛馬，強(qiáng)烈建議刪除或者不用時(shí)請(qǐng)改名（tpl備用.php）】
/dede/templets_*.php 【模板管理功能，老手建議刪除，使用FTP管理】
/dede/media_*.php 【附件數(shù)據(jù)管理功能文件，易被掛馬，刪除(用你的FTP管理文件就可以了，別用這個(gè))】
/dede/file_*.php 文件式管理器功能控制器文件，易被掛馬，刪除(用你的FTP管理文件就可以了，別用這個(gè))
/dede/mytag_*.php、mytag_tag_*.php 【自定義標(biāo)記管理，易被上傳一句話木馬】
/dede/story_*.php 【小說(shuō)功能，可刪除】
/dede/erraddsave.php 【糾錯(cuò)功能，可刪除】
/dede/feedback_*.php 【評(píng)論管理，可刪除】
/dede/group_*.php 【圈子功能，很少用到，可刪除】
/dede/co_*.php  【采集控制文件，可刪除】
/dede/cards_*.php 【點(diǎn)卡功能功能，可刪除】
/dede/ad_*.php  【廣告管理添加/刪除文件，企業(yè)站一般不用可刪除】
/dede/spec_*.php  【專題管理，沒(méi)有專題頁(yè)面，可刪除】
/dede/vote_*.php  【投票功能，可刪除】
/dede/sys_sql_query.php 【SQL命令運(yùn)行器，不需要的話可以改名為（sys_sql_query安全禁用.php）也可以刪除】

安全設(shè)置三：目錄/plus要?jiǎng)h除的文件

正常的企業(yè)站可以只保留list.php、view.php、count.php、search.php、diy.php(企業(yè)站經(jīng)常用到的表單)五個(gè)文件以及img文件夾，其他全部刪除。

/plus/guestbook  【留言簿模塊，整體刪除，容易SQL注入及垃圾留言】
/plus/task和task.php  【計(jì)劃任務(wù)控制文件，文件夾和文件都刪除】
/plus/bookfeedback.php、bookfeedback_js.php  【圖書評(píng)論和評(píng)論調(diào)用文件，存在注入漏洞，不安全】
/plus/bshare.php  【分享插件】
/plus/ad_js.php  【廣告插件，新聞資訊站用到的，請(qǐng)勿刪除】
/plus/car.php、posttocar.php、carbuyaction.php  【購(gòu)物車】
/plus/comments_frame.php  【調(diào)用評(píng)論，存在安全漏洞】
/plus/digg_ajax.php、digg_frame.php  【頂踩】
/plus/download.php、disdls.php  【下載和次數(shù)統(tǒng)計(jì)】
/plus/erraddsave.php  【糾錯(cuò)】
/plus/feedback.php、feedback_ajax.php、feedback_js.php  【評(píng)論】
/plus/stow.php  【內(nèi)容收藏】
/plus/vote.php  【投票】

安全設(shè)置四：后臺(tái)目錄及賬號(hào)密碼修改

1、網(wǎng)站后臺(tái)文件改名：(不定期更改一下)

默認(rèn)后臺(tái)目錄是/dede，需要將這個(gè)文件夾的名稱修改，

如改為WangZhan123@+，

那么后臺(tái)登陸地址就由

www.xxx.com/dede 變?yōu)?www.xxx.com/WangZhan123@+

2、后臺(tái)登錄密碼請(qǐng)勿使用admin：

數(shù)據(jù)庫(kù)內(nèi)容替換——dede_admin——要替換的字段：userid——被替換內(nèi)容：admin——替換為：longtengfei——安全確認(rèn)碼——保存確認(rèn)

安全設(shè)置五：目錄權(quán)限設(shè)置 

1、這幾個(gè)目錄去掉寫的權(quán)限

/data、/templets、/plus、/include、/dede

網(wǎng)站根目錄設(shè)置為755權(quán)限(即www權(quán)限)，根目錄下的所有文件夾均為755權(quán)限

2、老版本若登錄后臺(tái)提示驗(yàn)證碼錯(cuò)誤，選中/data目錄，將權(quán)限設(shè)置為完全控制（可讀可寫）權(quán)限

安全設(shè)置六：主機(jī)安全防護(hù) 

服務(wù)器可下載第三方防護(hù)插件，例如：織夢(mèng)CMS安全包 、DedeCMS頑固木馬后門專殺、服務(wù)器安全狗、啟用HTTPS證書配置等等；

安全設(shè)置七：禁止目錄運(yùn)行php腳本

1、linux主機(jī)的用戶一般都是apache環(huán)境，使用 .htaccess 文件來(lái)設(shè)置，如果你網(wǎng)站根目錄已經(jīng)存在這個(gè)文件，那就復(fù)制一下代碼添加進(jìn)去。

RewriteEngine on
#安全設(shè)置 禁止以下目錄運(yùn)行指定php腳本
RewriteCond % !^$
RewriteRule a/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php|htm)$ – [F]
RewriteRule uploads/(.*).(php)$ – [F]

2、windows主機(jī)的用戶一般都是iis7、iis8環(huán)境，使用 web.config文件來(lái)設(shè)置，請(qǐng)確認(rèn)你的主機(jī)已經(jīng)開(kāi)啟了偽靜態(tài)而且網(wǎng)站根目錄有 web.config 文件，有這個(gè)文件的可以復(fù)制以下代碼添加到對(duì)應(yīng)的rules內(nèi)。

<rule name="Block data" stopProcessing="true">
  <match url="^data/(.*).php$" />
    <conditions logicalGrouping="MatchAny">
    <add input="{USER_AGENT}" pattern="data" />
    <add input="{REMOTE_ADDR}" pattern="" />
   </conditions>
  <action type="AbortRequest" />
</rule>
<rule name="Block templets" stopProcessing="true">
  <match url="^templets/(.*).php$" />
     <conditions logicalGrouping="MatchAny">
      <add input="{USER_AGENT}" pattern="templets" />
      <add input="{REMOTE_ADDR}" pattern="" />
    </conditions>
  <action type="AbortRequest" />
</rule>
<rule name="Block SomeRobot" stopProcessing="true">
   <match url="^uploads/(.*).php$" />
      <conditions logicalGrouping="MatchAny">
         <add input="{USER_AGENT}" pattern="SomeRobot" />
         <add input="{REMOTE_ADDR}" pattern="" />
      </conditions>
    <action type="AbortRequest" />
</rule>

3、Nginx下禁止指定目錄運(yùn)行PHP腳本

這段配置文件一定要放在

location ~ .php(.*)$

前面才可以生效，配置完后記得重啟Nginx生效。

location ~* /(a|data|templets|uploads)/(.*).(php)$ {
return 403;
}

測(cè)試有沒(méi)有生效，可以隨便創(chuàng)建一個(gè)PHP文件傳到uploads文件夾下，執(zhí)行：域名/uploads/測(cè)試文件.php  如果不能打開(kāi)說(shuō)明生效。

安全知識(shí)：常見(jiàn)木馬文件

plus/90sec.php
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php (系統(tǒng)文件)
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/cache/mytag-*.htm
data/config.php
data/cache/config_user.php
data/config_func.php
include/taglib/shell.lib.php
include/taglib/*.lib.php

這些大多數(shù)被上傳的腳本集中在plus、data、data/cache、include這幾個(gè)目錄下，請(qǐng)仔細(xì)檢查這幾個(gè)目錄下最近是否有被上傳異常文件。