如何防止织梦模板(DedeCms)被盗及安全设置

注:本篇模板防盗安全设置,针对的是dedecms程序本身,不涉及其他安全设置。

下面跟大家说下常见的方式,这些方法对技术有限的人来说,可以起到模板防盗作用,对真正的高手来说,大多数网站都是仿不了的,这个大家都需要知道。

方法一:修改系统默认模板文件夹名字,最简单,也很实用

步骤:后台->系统->系统基本参数->站点设置->模板默认风格->default

把default改成你自己取的名字,然后进FTP,打开templets文件夹,把default名字改成一致,这样别人就不知道你网站模板文件夹名字了。方法二:把系统默认的.htm模板文件名改一改。

大家都知道默认的模板文件的名字,如index.htm(),list_article.htm(文章列表页),article_article.htm(文章内容页)等等,直接就给扒下来。

所以,我们把这些默认的名字改一改,然后去栏目管理处,重新指定一下模板文件就可以增加一下模板的安全了。

1、认识一下默认模板文件的名字及作用

首页模板:/templets/default/index.html

文章频道首页:/templets/default/index_article.htm

文章列表页:/templets/default/list_article.htm

文章内容页:/templets/default/article_article.htm

图集频道首页:/templets/default/index_image.htm

具体模板名介绍:

2、不同栏目各自指定不同的模板

步骤:核心->常用操作->网站栏目管理->点击右侧对应栏目的“更改”链接->高级选项->手动指定模板

详细操作方法:

3、完成以上2步,生成更新一下栏目就行了。方法三:这个方法是上2个的结合,说起来也简单,

1、后台不修改默认模板风格default的名字,在templets文件夹里面新建一个文件夹,自己取名。

2、把用到的模板文件上传到这个文件夹里面;

这里需要有一个注意,因为后台没有修改默认的模板风格位置,所有,首页、列表、内容等模板文件引用的通用页头(head.html)、页尾(footer.htm),就需要修改一下,不然就不显示了页头页尾,方法如下:

{dede:include

filename=”123456/head.htm”/}

如果你自己建立的模板文件夹名字是123456,调用代码里就写123456。

搜索页面、tag页面,都放在默认的default里面,如果放在自己建的文件夹里面,系统不认。

3、按照方法二的步骤,手动指定各个栏目的模板。

方法四:修改CSS、图片、JS等调用路径。

这个很重要,最好把CSS、图片、JS等放到网站根目录再调用。

不然的话,即使你修改了默认的风格目录,在查看网页源代码的时候,还是照样可以看到模板目录的!

好多新手在用dedecms建站的时候,没有重视这个,等模板被盗了,才发现,很让人生气,所以,我们要提前做好这些防盗的准备,提高模板的安全性。

写的比较啰嗦,主要是为了让大家能够容易理解。

如何提高dedecms网站的安全性

DEDECMS安全性终极设置

1、需要设置 可读写不可执行 的目录为:data、templets、uploads、a目录;

2、需要设置为 可读可执行不可写入 的目录为:include、member、plus、后台管理目录(默认dede)、模块目录book、ask、company、group……

3、不需要 会员、专题的,可以直接 删除 member、special 目录,或者重命名;

4、已经安装好dedecms的直接删除install目录;

5、MySQL用户千万别给root权限,应设置为:SELECT, INSERT , UPDATE , DELETE、CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES;

6、管理员帐号密码尽量复杂些,md5网站破解不出为妙,发布文章请新建并使用一个信息发布员权限用户。

7、定期备份网站目录和数据库,并进行木马查杀,脚本特征码。

data、templets、uploads目录的权限—–可读写不可执行

include、plus、upup的权限——可读可执行不可写入

data/common.inc.php 只读

第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。

第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号。

第三、装好程序后务必删除install目录

第四、将dedecms后台管理默认目录名dede改掉。

第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。

第六、以下一些是可以删除的目录:

member会员功能

special专题功能

company企业模块

plus\guestbook留言板

以下是可以删除的文件:

管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

如何提高织梦dedecms的安全性

安全方面涉及到很多因素:

1、首先是FTP的密码设置复杂点,建议大小写字母+数字+下划线等特殊字符

2、网站登录的密码,建议同上

3、上传服务器后,修改dede文件夹,越奇葩越好

4、删除安装文件夹install,如果用不到会员功能的,把member文件夹一块儿删了

5、在空间管理界面设置文件夹读取权限,都设为只读模式,这是最安全的

6、最后就是更新官方发布的补丁了

dedecms怎么把安全做好?

下面就DEDECMS的安全设置。

1、尽量使用纯PHP的主机空间,如果非要使用WINDOWS,最好关闭非所有PHP支持;

2、更改默认的 /dede/类管理地址;

3、给默认的admin管理帐号分配没有权限的用户组;

4、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读;

5、Linux主机针对uploads、data、templets 三个目录做执行php脚本限制;WINDOWS取消这三个目录的脚本运行权限;

6、及时关注官方补丁并及时打上补丁;

7、非必要,请关闭会员系统并删除member文件夹,实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制;

织梦DEDECMS网站系统安全设置方法有哪些

删除member文件夹,后台系统设置关闭所有与会员有关的选项

网站安装以后删除install文件夹

影藏后台管理入口

更改文件写入和读取权限

把织梦网站更新到最新版本

下载织梦官方文件,尽量不要使用第三方修改过的版本

使用静态url,隐藏真实的文件路径

其实织梦用了几年并没有出现什么安全问题,只要注意平时多注意备份数据和文件,都没有什么问题的。