dedecms织梦安全设置 防黑加固

（为了安全起见，建议先做好全站数据和文件的备份，本人也是这样设置，并且没有任何问题）

请下载下面的文件进行修复，直接覆盖即可 不会影响网站，也可以把原先的做好备份，以防万一。

下载链接: https://pan.baidu.com/s/1krgFxGkDyT4p9wa3Ra5ulA
提取码: 89j5

1、修改默认后台名。

2、删除member文件夹

3、删除special文件夹

4、打开plus文件夹

ad_add.php

ad_edit.php

ad_main.php

adtype_main.php

这几个是后台广告设置的文件 如果模版上没有广告位的 删除这几个（只有少数新闻博客模版有广告位）

cards_make.php

cards_manage.php

cards_type.php

这几个是会员点卡功能  所有模版都没用到这个  直接删除

feedback_edit.php

feedback_main.php

这是评论功能  如果没用到这个  直接删除

file_class.php

file_manage_control.php

file_manage_main.php

file_manage_view.php

file_pic_view.php

这几个是附件管理 文件式管理器 这个是影响安全，很多用户在用这个功能 必须删除，改成FTP上传文件图片等

freelist_add.php

freelist_edit.php

freelist_main.php

这几个是自由列表管理  基本上的模版都没用到这个  直接删除

getdedesysmsg.php

这个是织梦官方广告   直接删除

group_edit.php

group_guestbook.php

group_main.php

group_notice.php

group_store.php

group_threads.php

group_user.php

这几个是圈子功能 没用到这个  直接删除

mail_file_manage.php

mail_getfile.php

mail_send.php

mail_title.php

mail_title_send.php

mail_type.php

这几个邮件管理功能  没用到这个  直接删除

mda_main.php

这个是织梦官方广告   直接删除

media_add.php

media_edit.php

media_main.php

这几个是上传文件 这个是影响安全，很多用户在用这个功能 必须删除，改成FTP上传文件图片等

member_do.php

member_feed_edit.php

member_guestbook.php

....

所有的 member_开头的  这些是会员注册等  没用到这个  直接删除

mynews_add.php

mynews_edit.php

mynews_main.php

这几个是站内新闻 没用到这个  直接删除

mytag_add.php

mytag_edit.php

mytag_main.php

mytag_tag_guide.php

mytag_tag_guide_ok.php

这几个是自定义标记 没用到这个  直接删除

shops_delivery.php

shops_operations.php

shops_operations_cart.php

shops_operations_userinfo.php

订单功能  也是带会员的才会用到  没用到这个  直接删除

spec_add.php

spec_edit.php

这几个专题功能 没用到这个  直接删除

story_add.php

story_add_action.php

....

所有的 story_ 开头的  这些都是小说功能  没用到这个  直接删除

vote_add.php

vote_getcode.php

vote_edit.php

vote_main.php

这几个是投票功能  没用到这个  直接删除

五、删除根目录下的install 文件夹，这是安装目录，因为我们都安装好了，所以这个没用了，删除即可。

删除根目录下的install 文件夹，这是安装目录，因为我们都安装好了，所以这个没用了，删除即可。

六、修改用户名和密码

http://www.wdooc.com/archives/3364

七：目录权限设置

①/data、/templets、/plus、/include、/dede 这几个目录去掉写的权限

②网站根目录设置为755权限(即www权限)，这样子根目录下的所有文件夹均为755权限

③老版本若登录后台提示验证码错误，选中/data目录，将权限设置为完全控制（可读可写）权限

八：主机安全防护

可下载第三方防护插件，例如：『D盾_防火墙』 、360出品的"织梦CMS安全包" 、百度旗下安全联盟出品的"DedeCMS顽固木马后门专杀"、服务器安全狗、启用HTTPS证书配置；

九：利用伪静态功能禁止以下目录运行php脚本

① linux主机的用户一般都是apache环境，使用 .htaccess 文件来设置，如果你网站根目录已经存在这个文件，那就复制一下代码添加进去。

RewriteEngine on

#安全设置 禁止以下目录运行指定php脚本

RewriteCond % !^$

RewriteRule a/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php|htm)$ – [F]

RewriteRule uploads/(.*).(php)$ – [F]

②：windows主机的用户一般都是iis7、iis8环境，使用 web.config 文件来设置，请确认你的主机已经开启了伪静态而且网站根目录有 web.config 文件，有这个文件的可以复制以下代码添加到对应的rules内。

<rule name="Block data" stopProcessing="true">

  <match url="^data/(.*).php$" />

    <conditions logicalGrouping="MatchAny">

     <add input="{USER_AGENT}" pattern="data" />

     <add input="{REMOTE_ADDR}" pattern="" />

   </conditions>

  <action type="AbortRequest" />

</rule>

<rule name="Block templets" stopProcessing="true">

  <match url="^templets/(.*).php$" />

     <conditions logicalGrouping="MatchAny">

      <add input="{USER_AGENT}" pattern="templets" />

      <add input="{REMOTE_ADDR}" pattern="" />

    </conditions>

  <action type="AbortRequest" />

</rule>

<rule name="Block SomeRobot" stopProcessing="true">

   <match url="^uploads/(.*).php$" />

      <conditions logicalGrouping="MatchAny">

         <add input="{USER_AGENT}" pattern="SomeRobot" />

         <add input="{REMOTE_ADDR}" pattern="" />

      </conditions>

    <action type="AbortRequest" />

</rule>

③：Nginx下禁止指定目录运行PHP脚本

注意:这段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效，配置完后记得重启Nginx生效。

location ~* /(a|data|templets|uploads)/(.*).(php)$ {

return 403;

}

测试有没有生效，可以随便创建一个PHP文件传到uploads文件夹下，执行：域名/uploads/测试文件.php  如果不能打开说明生效。

十、网站做好定期的备份工作，不要闲麻烦

还可以参考以下两篇文章：

dedeCMS的安全设置

DEDECMS去除冗余的代码