织梦CMS 是国内常用的免费开源管理系统之一,但由于其广泛使用,也存在许多已知的安全漏洞。为了提高织梦CMS网站的安全性,以下是一些有效的安全防护设置步骤:
1. 修改网站后台的访问路径
- 修改后台路径:
- 默认后台路径为
http://域名/dede/。 - 修改为更复杂的路径,例如
http://域名/admin-panel/或http://域名/cp/。 - 修改
config.php文件中的DEDEROOT配置项。
- 默认后台路径为
2. 修改管理员默认账号和密码
-
修改管理员账号:
- 进入织梦后台:
- 核心 > 数据库内容替换 > 选择
dede_admin表中的userid字段 > 替换内容为新的用户名。
- 核心 > 数据库内容替换 > 选择
- 示例命令:
sql
UPDATE dede_admin SET userid = '新用户名' WHERE userid = 'admin';
- 进入织梦后台:
-
修改管理密码:
- 进入织梦后台:
- 核心 > 系统用户管理 > 更改 > 输入新密码。
- 进入织梦后台:
3. 删除不必要的文件夹
-
删除
member文件夹:- 如果是普通企业站且不需要会员功能,删除根目录下的
member文件夹。
- 如果是普通企业站且不需要会员功能,删除根目录下的
-
删除
special文件夹:- 同样,如果不需要,删除根目录下的
special文件夹。
- 同样,如果不需要,删除根目录下的
-
删除
install文件夹:- 删除根目录下的
install文件夹。
- 删除根目录下的
-
删除
templets/default文件夹:- 如果网站模板不在
templets/default文件夹内,可以删除该文件夹。
- 如果网站模板不在
4. 清理 plus 文件夹
- 清理
plus文件夹:- 保留必要的文件夹和文件,删除其他文件。
- 保留的文件夹和文件:
plus/feedback.phpplus/search.phpplus/searchsql.phpplus/viewnews.phpplus/viewpic.phpplus/plus文件夹
5. 移动 data 文件夹
-
移动
data文件夹:- 将
data文件夹移动到根目录的上一级目录,并重命名。 - 修改
include/common.inc.php文件中的DEDEDATA配置项:phpdefine('DEDEDATA', '/path/to/new/data/folder');
- 将
-
修改缓存目录:
- 进入系统后台 > 配置 > 修改
tplcache目录为新的data目录。
- 进入系统后台 > 配置 > 修改
6. 删除多余的后台文件
-
删除文件管理器相关文件:
file_manage_control.phpfile_manage_main.phpfile_manage_view.phpmedia_add.phpmedia_edit.phpmedia_main.php
-
删除 SQL 命令运行器:
sys_sql_query.php
7. 设置文件权限
- 设置文件夹权限:
- 对
templets/、uploads/文件夹设置为644权限(可读写不可执行)。 - 对
include/、plus/、dede/文件夹设置为755权限(可读可执行不可写入)。
- 对
总结
通过以上步骤,可以显著提高织梦CMS网站的安全性。具体步骤包括修改后台路径、修改管理员账号和密码、删除不必要的文件夹、清理 plus 文件夹、移动 data 文件夹、删除多余的后台文件以及设置文件权限。这些措施可以有效减少被黑客攻击的风险。
