1. 用户名,密码复杂性,即使hack拿到密码也不容易逆转破解;后台目录务必重命名,越复杂最好;关注官方网站,跟相应的杀毒软件,定时修补补丁,定时查杀多余php文件;

  2. 后台设置,删除多余会员,关闭会员功能,系统基本参数-会员设置,互动设置等限制;

  3. 精简设置,不需要的功能都删掉,每个目录下加一个空的index.html,防止目录被访问;可删除的功能:member,special,install(必删),company(企业模块),plus\guesbook留言板等一般用不上的功能;

  4. 可以删除不必要但容易受攻击的文件(再文件夹下搜索即可):file_manage_control.php,file_manage_main.php,file_manage_view.php,media_add.php,media_edit.php,media_main.php,download.php(没有下载功能),feedback.php(评论功能)这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除) 。

    不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。

    不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

  5. 为了防止HACK利用发布文档,上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在5.0以上的版本本身已经作好修改了,这点经测试比较过的)

  6. 织梦权限设置,

    1>include,plus,member等附加组件    可读取 不可写入 执行脚本(纯脚本)

    data、templets、uploads,images    可读写 不可执行(执行权限无)

    2>设置iis权限,去掉user权限,自己设置一个权限;目录设置、不允许执行脚本:

  7. 织梦关闭自定义表单前台预览,删除友情链接申请功能;网站提交登陆一定要有验证码,防止hack暴力破解,提交。

  8. 也可以使用第三方安全插件:如360网站卫士,DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击:系统—病毒扫描—开始扫描,删除织梦系统以为的php文件;

注意事项:

  • 服务器篇:安装安全软件,并进行安全设置,木马查杀软件定期查杀。

  • 数据库安全:定期备份数据库与程序模板,出现问题即使恢复,数据库一个网站一个用户名密码,互不影响。

  • 空间注意篇:把空间的账号密码与FTP密码妥善保存,密码一定要复杂,自己的服务器就要靠自己了。