用織夢搭建的網站怎麼防掛馬？

DedeCms做為國內使用最廣泛使用人數最多的CMS之一，經常爆出漏洞，每個漏洞的爆出，影響都是一大片，輕則被人掛廣告、彈框，重則伺服器成為肉機，寶貴資料遺失。那麼有什麼辦法可以提高DedeCms的安全性呢？

先來看看原因吧，為什麼PHP程式常常會出現漏洞，其實是由PHP程式本身決定的。

PHP可重複使用性低，導致程式結構錯綜複雜，到處是冗餘程式碼，這不僅利於漏洞的產生，還影響漏洞的修得；

PHP程式入門簡單且普遍開源，導致很多人都可直接閱讀程式碼，搜尋漏洞；這樣便有源源不絕的漏洞被發現、被修復、被發現…。

而目前流行的PHP系統習慣用以檔案形式做為緩存，這樣就需要開放檔案的寫入權限，這無疑成為PHP系統的軟肋。

目前針對PHP系統的攻擊方式，除了已經很少出現的「注入」攻擊外，大部分攻擊都是透過系統的某個漏洞，向可寫檔案插入一句話木馬，以此方式獲得shell。 

網站安全性從來都是伺服器設定、檔案權限控制和網站程式三者的相互配合，今天主要看看如果對DedeCms網站程式的改進來提高安全性。 「可執行的檔案不允許被修改，可寫檔案不允許被存取」這是網站權限控制的根本原則，網站程式在「可寫檔案不允許被存取」方面可做許多工作。

就拿DedeCMS來說，我們可以在以下幾個方式做好保護。

1、改名根目錄下的data目錄，或是移動到網站目錄外面 

data目錄是最藏污納垢的地方，系統常常要往這個目錄寫數據，這個目錄下的任何一個文件都可以透過URL存取到，所以要讓瀏覽器存取不到裡面的文件，就需要將此目錄改名，或者移動到網站的目錄外面去。這些，即使別人透過漏洞往文件裡寫進了一句話木馬，他也找不到此木馬所在的檔案路徑，無法繼續展開攻擊。因為DedeCMS程式的不合理，導致改名data目錄動作會比較大，具體做法如下： 

a. 將公開的內容移轉到pub目錄（或其它自訂目錄）下，如rss、sitemap、 js、enum等，此步驟需要移動資料夾，並修改這些檔案的產生路徑 

b. 修改引用程式目錄 

搜尋取代「DEDEDATA.「/data/」 為「DEDEDATA .”/”，大概替換五六十個地方； 
搜尋替換“DEDEDATA.'/data/” 為“DEDEDATA.'/”，大概替換五六十個地方； 
搜尋“/data/ ”，依具體情況，修改路徑類似成為：“$DEDEDATA.“/”（注意include目錄和後台管理目錄都有data資料夾，不需要修改）； 

c. 修改data資料夾名稱，並修改include/common.inc.php檔案裡的「DEDEDATA」的值，再在後台系統設定」參數設定裡修改範本快取目錄，即可修改完成。日後也可以依照此步驟來變更data資料夾名稱. 

2、改名「dede」管理目錄，並加固 

如果把後台隱藏好了，即使別人獲得了你的管理員帳號、密碼，他也無從登入。 

在/dede/config.php裡，找到如下行： 

以下為引用的內容： 

//检验用户登录状态 
 $cuserLogin = new userLogin(); 
if($cuserLogin->getUserID()==-1) 
{ 
     header("location:login.php?gotopage=".urlencode($dedeNowurl)); 
}

建議學習：dedecms使用教程

以上是用織夢搭建的網站怎麼防掛馬？的詳細內容。更多資訊請關注PHP中文網其他相關文章！