织梦阁网站停止更新大约有2年多的时间了,期间自身工作繁忙,无暇顾及网站。前段时间访问网站,竟然N多的小马,更甚者,织梦阁整站的数据竟被别的平台贩卖,想想让别人卖,还不如自己来,近期把原有的模板整理一下,将会发布在免费模板栏目,供大家无偿下载。


想想这个安全问题,真的很重要。今天整理一下有关织梦模板建站中,安全设置的问题。 按照网站的 安装--模板制作---上线,这么一个时间线来阐述。 

一、数据库前缀

安装时可以自定义数据库的表名前缀,默认是dede_,这个可以自定义,只是后续要二次开发的话,会涉及更改的环节较多,具体就看自己的实际情况。 

二、后台登录账号密码

安装的时候需要设置后台账号密码,这个账号密码一定要自定义。 

三、data目录(必须处理,70%的安全问题由此引起)

data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患。我们可以将其改名,或者最好是移到Web运行目录以外。

1 先说修改目录名。
1)、修改include目录下的common.inc.php这个文件。打开文件,找到第16行:
define('DEDEDATA', DEDEROOT.'/data');
把data修改成为您要改的目录名,如:改为asdfg,那么则改为:
define('DEDEDATA', DEDEROOT.'/asdfg');
2)、用FTP把data目录改名asdfg,也就是跟第一步改的文件名一样。
3)、在网站后台,系统-系统基本参数-性能选项,“模板缓存目录:”改为:/asdfg/tplcache。
这样就基本改完成了,不过现在还有些问题。打开网站目录你会发现,自己跳到安装文件了。不用急,修改一下网站根目录的index.php这个文件,把文件最前面的几行注释掉,注释如下,也就是在代码前面加//:
//if(!file_exists(dirname(__FILE__).'/data/common.inc.php')) //{ //    header('Location:install/index.php'); //    exit(); //}
这样,你的网站就可以正常打开了。在后台更新的时候,还是有问题,网站地图跟RSS、JS这几项更新有问题,那么我们只需要在网站根目录下新建个data目录,然后data目录下再分别新建rss和js两个目录,这样就可以了,再更新一下看看,是不是都正常了呢?
注:上面提到的更改目录为asdfg,其中asdfg可以自由更换成你想要的目录名称。

2 再说移动date目录 。
1)一般虚拟主机,会有一个网站执行目录(这里简称web目录),例如web;www;wwwroot等,这里说的的移动date目录,就是将date完全剪切到web目录以外,一般就是让date和web在同一目录中,是平级的。 
2)找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。
3)配置tplcache缓存文件目录,进入系统后台,在配置中修改tplcache目录为你想对目录。
这样我们就将data目录顺利迁移出去了。
注意:本操作目前仅在V57系统中测试有效,其他版本系统可能需要进行调整。

四、目录删除和改名

1、首先删除install目录;
2、删除member目录,这个是会员功能目录,如果确实需要用到会员功能,那也得改名,具体可以参考站内其它文章,篇幅较长,再次略过。
3、删除special目录,这个专题功能;
4、织梦默认的栏目、文章存储在a文件夹内,从SEO的方面考虑,要将URL简化,各栏目的目录直接生成在网站根目录较好,目录名自定义,这个a目录删除即可; 
5、默认的后台管理目录dede,这个名字自定义修改,例如改成abc,那么你的后台地址就是,你的域名/abc/  .

五、文件删除

1、管理目录(默认的dede目录)下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php 
file_manage_main.php 
file_manage_view.php 
media_add.php 
media_edit.php 
media_main.php
2、不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除;不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

六、文件夹及文件权限

1、修改/data/common.inc.php 这个文件权限为444,只能读取
2、以下各目录详细设置;
/ 【站点根目录】 
需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限 //0755
/dede 【后台程序目录】
需求有执行权限和读取权限 //建议安装完成以后修正目录名称 //0755
/include 【主程序目录】
需求有写入、执行权限和读取权限 //0755 //建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555
/member 【会员目录】
需求执行读取和权限 //建议去掉写入权限以及修正权限//0555
/plus 【插件目录】
需求有读取、写入和执行的权限 //建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755
/data 【站点缓存数据等文件】
需求有读取权限和写入修正权限 //建议去掉执行权限//0666
/a 【存放网站栏目和文章的目录,默认a目录】
需求有读取修正和创建权限 //建议去掉执行权限 //0666
/templets【模板目录】
需求有读取 修正写入 权限 //建议去掉执行权限 //0666
/uploads 【附件目录】
需求写入读取权限 //建议去掉执行权限//0666
/special 【专题文件目录】
需求执行、读取、写入和修正权限 //0755

七、总结篇

1、织梦目前很少打补丁了,有的话及时更新;
2、尽量使用Linux系统的服务器,安全性和性能比win好很多; 
3、服务器有一些安全防护软件最好了,云锁之类的;
4、大多数被上传的脚本集中在plus、data、data/cache三个目录下,请时常仔细检查三个目录下最近是否有被上传文件;