网站安全问题：本人用dedecms织梦系统建站，但是每天被黑客挂黑页，有啥方法防御没。

Posted 2023-03-18

我的SEO技术比较好，五天上首页，三十分钟收录新内容。关键词是黑客，我做的是黑客网站，但是每天被挂黑页攻击，织梦dede的漏洞超多，主机又LJ，有什么好方法防止渗透，后门的。而且不影响我发表新内容的。目录应该如何写权限，小弟在这里受教了。可以留下个联系方式最好方便询问。谢谢了。

织梦的系统安全配置你可以去看一下。如果全部配置好之后应该还算是安全的，另外你要检查一下你的代码，看有没有一些木马，全部去除掉。还有的就是自己换一台好的主机，要不然别人通过旁注还是可以黑你的网站。 参考技术A 上织梦官网看看 有权限设置方面的配置 看看在这个方面能不能改进一下 权限不能敞开 参考技术B 用什么功能开什么服务，需要多大权限就开多大权限 参考技术C 会不会主机安全性都有问题。 参考技术D 既然都会建站，起码会维护一些漏洞吧。处理掉一些大的漏洞就差不多了。多学一些网站维护 第5个回答  2012-12-29 你好 楼主 用我们的湖盟云防火墙 它是基于云WAF,无需部署，无需维护，一个IP地址的Web防火墙，也是唯一负担得起PCI认证的企业级Web安全应用程序。
可以提升网站访问速度，防止黑客攻击，CC/DDOS SQL注入

织梦（dedecms）网站安全防护防止被黑技巧

作者：唯独是你
链接：https://zhuanlan.zhihu.com/p/22101340
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

目前织梦是企业建站用得比较多的一个CMS系统，但是织梦的安全性又让很多企业望而止步。其实，只要做好网站安全防护工作，根本不用担心网站被黑。

下面我将分站外和站内两个部分来讲解防止织梦（dedecms）网站被黑的技巧：

一、网站站外安全防护，主要是域名和空间（服务器）的安全

1、域名。域名是网站的入口之一，也是网站被黑的一个切入口，如果域名出了问题，网站就不能打开了。那么怎么保证域名的安全呢？

（1）选择正规靠谱的注册商

（2）域名注册的信息务必如实填写

（3）尽量使用域名商提供的正规DNS解析，慎用免费DNS解析

2、空间服务器安全措施

（1）安全组合：安全狗(服务器及网站防护)+百度云加速(WEB常规防护和访问加速)+百度云观测（网站安全预警和日常监测）

（2）使用云防护工具：建议选择百度云加速

（3）通过ftp来上传、维护网页，尽量不安装asp的上传程序

（4）日常要多维护，并注意空间中是否有来历不明的文件

二、网站站内安全防护

1、修改织梦默认的后台目录文件夹（dede）的名称，可以修改为其他的字母或字母与数字色组合（比如chaoyongseo），修改后网站后台的登陆地址为：域名/chaoyongseo

2、如果网站用不到会员等功能的话的话，建议删除member、install、special文件夹

3、data/common.inc.php数据库连接文件 禁止写入与执行，只允许读取模板

4、将/data/文件夹移到Web访问目录外，这条是dedecms官方建议，具体操作方法如下：

（1） 将/data/文件夹移至web根目录的上一级目录

（2）修改/include/common.inc.php中DEDEDATA变量，将：define(‘DEDEDATA‘,DEDEROOT.‘/data‘); 改为define(‘DEDEDATA‘,DEDEROOT.‘/../data‘);

（3）修改/index.php，删除如下代码（注：如首页生成静态且index.html索引优先于index.php可忽略此条修改。）：

if(!file_exists(dirname(__FILE__).‘/data/common.inc.php‘))

{

header(‘Location:install/index.php‘);

exit();

}

（4）配置tplcache缓存文件目录：登陆后台 > 系统 > 系统基本参数> 性能选项，将模板缓存目录值改为/../data/tplcache

5、include和plus 文件夹禁止写入

/plus/是dedecms漏洞高发目录，隐藏/plus/路径可防范该目录下文件产生的未知漏洞的利用，如需使用该目录下某个文件，可在.htaccess中添加相关规则实现白名单功能。

示例：假设plus目录名修改为/chaoyong/，网站需要使用后台栏目动态预览（路径：http://域名/plus/list.php?tid=栏目编号）和发布跳转文章（路径：http://域名/plus/view.php?aid=文章编号）的功能，则可在.htaccess添加如下代码：

RewriteEngine On

RewriteCond%{QUERY_STRING} ^tid=(\d+)

RewriteRule^plus/list.php$ /chaoyong/list.php$1 [L]

RewriteCond%{QUERY_STRING} ^aid=(\d+)

RewriteRule^plus/view.php$ /chaoyong/view.php$1 [L]

6、注意网站备份，包括网站文件的备份和数据库的备份。

网站文件的备份可以到空间服务器管理后台，使用文件压缩功能，把网站整站压缩了，然后通过FTP工具下载下来；

数据库备份需要登录网站管理后台，打开“系统-数据库备份/还原”，点击“提交”即可。

（来源：织梦（dedecms）网站安全防护防止被黑技巧）