織夢閣網站停止更新大約有2年多的時間了,期間自身工作繁忙,無暇顧及網站。前段時間訪問網站,竟然N多的小馬,更甚者,織夢閣整站的數據竟被別的平臺販賣,想想讓別人賣,還不如自己來,近期把原有的模板整理一下,將會發布在免費模板欄目,供大家無償下載。


想想這個安全問題,真的很重要。今天整理一下有關織夢模板建站中,安全設置的問題。 按照網站的 安裝--模板制作---上線,這么一個時間線來闡述。 

一、數據庫前綴

安裝時可以自定義數據庫的表名前綴,默認是dede_,這個可以自定義,只是后續要二次開發的話,會涉及更改的環節較多,具體就看自己的實際情況。 

二、后臺登錄賬號密碼

安裝的時候需要設置后臺賬號密碼,這個賬號密碼一定要自定義。 

三、data目錄(必須處理,70%的安全問題由此引起)

data目錄是系統緩存和配置文件的目錄,一般都有可以讀寫的權限,只要是能夠寫入的目錄都可能存在安全隱患。我們可以將其改名,或者最好是移到Web運行目錄以外。

1 先說修改目錄名。
1)、修改include目錄下的common.inc.php這個文件。打開文件,找到第16行:
define('DEDEDATA', DEDEROOT.'/data');
把data修改成為您要改的目錄名,如:改為asdfg,那么則改為:
define('DEDEDATA', DEDEROOT.'/asdfg');
2)、用FTP把data目錄改名asdfg,也就是跟第一步改的文件名一樣。
3)、在網站后臺,系統-系統基本參數-性能選項,“模板緩存目錄:”改為:/asdfg/tplcache。
這樣就基本改完成了,不過現在還有些問題。打開網站目錄你會發現,自己跳到安裝文件了。不用急,修改一下網站根目錄的index.php這個文件,把文件最前面的幾行注釋掉,注釋如下,也就是在代碼前面加//:
//if(!file_exists(dirname(__FILE__).'/data/common.inc.php')) //{ //    header('Location:install/index.php'); //    exit(); //}
這樣,你的網站就可以正常打開了。在后臺更新的時候,還是有問題,網站地圖跟RSS、JS這幾項更新有問題,那么我們只需要在網站根目錄下新建個data目錄,然后data目錄下再分別新建rss和js兩個目錄,這樣就可以了,再更新一下看看,是不是都正常了呢?
注:上面提到的更改目錄為asdfg,其中asdfg可以自由更換成你想要的目錄名稱。

2 再說移動date目錄 。
1)一般虛擬主機,會有一個網站執行目錄(這里簡稱web目錄),例如web;www;wwwroot等,這里說的的移動date目錄,就是將date完全剪切到web目錄以外,一般就是讓date和web在同一目錄中,是平級的。 
2)找到系統目錄下/include/common.inc.php文件,修改DEDEDATA常量為你的系統目錄。
3)配置tplcache緩存文件目錄,進入系統后臺,在配置中修改tplcache目錄為你想對目錄。
這樣我們就將data目錄順利遷移出去了。
注意:本操作目前僅在V57系統中測試有效,其他版本系統可能需要進行調整。

四、目錄刪除和改名

1、首先刪除install目錄;
2、刪除member目錄,這個是會員功能目錄,如果確實需要用到會員功能,那也得改名,具體可以參考站內其它文章,篇幅較長,再次略過。
3、刪除special目錄,這個專題功能;
4、織夢默認的欄目、文章存儲在a文件夾內,從SEO的方面考慮,要將URL簡化,各欄目的目錄直接生成在網站根目錄較好,目錄名自定義,這個a目錄刪除即可; 
5、默認的后臺管理目錄dede,這個名字自定義修改,例如改成abc,那么你的后臺地址就是,你的域名/abc/  .

五、文件刪除

1、管理目錄(默認的dede目錄)下的這些文件是后臺文件管理器,屬于多余功能,而且最影響安全,許多HACK都是通過它來掛馬的
file_manage_control.php 
file_manage_main.php 
file_manage_view.php 
media_add.php 
media_edit.php 
media_main.php
2、不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除;不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除。

六、文件夾及文件權限

1、修改/data/common.inc.php 這個文件權限為444,只能讀取
2、以下各目錄詳細設置;
/ 【站點根目錄】 
需求執行和讀取權限 假如要在根目錄下面創建文件和目錄的話需求有寫入權限 //0755
/dede 【后臺程序目錄】
需求有執行權限和讀取權限 //建議安裝完成以后修正目錄名稱 //0755
/include 【主程序目錄】
需求有寫入、執行權限和讀取權限 //0755 //建議在第一次安裝后,去掉寫入權限以及修正權限(需求重寫配置文件時再暫時開啟寫入及修正權限)//0555
/member 【會員目錄】
需求執行讀取和權限 //建議去掉寫入權限以及修正權限//0555
/plus 【插件目錄】
需求有讀取、寫入和執行的權限 //建議在生成完站點地圖和RSS文件后去掉寫入權限以及修正權限 //0755
/data 【站點緩存數據等文件】
需求有讀取權限和寫入修正權限 //建議去掉執行權限//0666
/a 【存放網站欄目和文章的目錄,默認a目錄】
需求有讀取修正和創建權限 //建議去掉執行權限 //0666
/templets【模板目錄】
需求有讀取 修正寫入 權限 //建議去掉執行權限 //0666
/uploads 【附件目錄】
需求寫入讀取權限 //建議去掉執行權限//0666
/special 【專題文件目錄】
需求執行、讀取、寫入和修正權限 //0755

七、總結篇

1、織夢目前很少打補丁了,有的話及時更新;
2、盡量使用Linux系統的服務器,安全性和性能比win好很多; 
3、服務器有一些安全防護軟件最好了,云鎖之類的;
4、大多數被上傳的腳本集中在plus、data、data/cache三個目錄下,請時常仔細檢查三個目錄下最近是否有被上傳文件;