采用织梦搭建的网站怎么防挂马？

DedeCms作为国内使用最广泛的Cms之一，往往漏洞百出。每个漏洞的影响都很大，小到被广告，被弹回，大到服务器变成肉机，丢失有价值的数据。那么，如何提高DedeCms的安全性呢？

我们先来看看原因。PHP程序为什么经常有漏洞，其实是PHP程序本身决定的。

PHP的低复用性导致程序结构复杂，到处都是冗余代码，不仅有利于漏洞的产生，也影响了漏洞的修复；

PHP程序容易上手，一般都是开源的，导致很多人直接看代码，搜索漏洞。这样源源不断的漏洞被发现，被修复，被发现。

目前流行的PHP系统习惯用文件做缓存，需要打开文件的写权限，这无疑成为了PHP系统的软肋。

目前除了罕见的针对PHP系统的“注入”攻击外，大部分攻击都是通过系统的漏洞将木马插入到可写文件中，获取外壳。

网站安全一直是服务器配置、文件权限控制和网站程序的配合。今天主要看如何改进DedeCms网站程序来提高安全性。“可执行文件不允许修改，可写文件不允许访问。”这是网站权限控制的根本原则，网站程序可以在“做很多工作可写文件不允许访问。

以DedeCMS为例，我们可以通过以下方式保护它。

1.重命名根目录下的数据目录或将其移出网站目录。

数据目录是最污秽的地方。系统经常将数据写入这个目录，这个目录下的任何文件都可以通过URL访问。所以，如果浏览器无法访问里面的文件，就需要重命名这个目录，或者把它移到网站的目录之外。这些，即使有人通过漏洞把木马写入文件，他也找不到木马所在的文件路径，无法继续攻击。由于不合理的DedeCMS程序，重命名数据目录的动作会比较大，如下:

A.将公共内容迁移到pub目录(或其他自定义目录)，如rss、sitemap、js、enum等。这一步需要移动文件夹并修改这些文件的生成路径。

B.修改参考程序目录

搜索用“DEDEDATA.”/”替换“DEDEDATA.“/data/”，大概是五六十位；搜索并替换“dededata。/data/”带“重复数据。/”，大概是五六十位；搜索“/数据/”。根据具体情况，修改路径类似于:“$DEDEDATA.“/”(注意include目录和后台管理目录都有数据文件夹，不需要修改)；

C.修改数据文件夹的名称，在include/common.inc.php文件中修改“DEDEDATA”的值，然后在后台系统设置的参数设置中修改模板缓存目录，即可完成修改。您也可以按照此步骤在将来更改数据文件夹的名称。

2.重命名“dede de ”管理目录，并对其进行加固。

如果隐藏后台，即使别人拿到你的管理员账号和密码，他也无法登录。

在/dede/config.php中，找到下面一行:

以下为引用内容:

//检查用户登录状态
$ cuserLogin = new userLogin()；
if($ cuserlogin -& gt；getUserID()==-1)
{
标题(& quot位置:login.php？gotopage = & quot。urlencode($ dedeNowurl))；
}登录后复制