DedeCMS安全设置必做,杜绝挂马

DEDECMS搜索出现404错误的解决方法
DedeCMS安全设置必做,杜绝挂马

DedeCMS开源免费拥有强大的用户量，频繁被人爆出漏洞，这并不是说dedecms安全问题解决不了，合理地通过设置脚本执行与目录写入权限，完全可以减少风险甚至杜绝被挂马，首先我们先来了解一下DedeCMS的目录结构：

a 默认的静态HTML生成目录，

data DedeCMS缓存与一些临时数据目录

dede 后台管理目录

images 图片目录

include DedeCMS系统库目录

install 安装文件目录

member 用户 个人中心

plus 插件目录

special 专题HTML生成目录

templets 模板目录

uploads 默认的上传目录

DedeCMS各个目录的功能解释：

1、a 因为是静态目录，并且在要生成HTML的，所以拒绝脚本执行 充许写入

2、data 因为是缓存等，所以充许写入，但是因为这里面的文件引入到其它地方进行使用，所以要拒绝脚本执行

3、dede 后台管理目录，并且这个一般情况下不需要修改，所以充许脚本执行，拒绝写入

4、images 仅是存系统图片， 所以拒绝脚本执行，拒绝写入

5、include 虽然这个目录有系统库，一般情况下也是引入到其它地方使用，但是也有一些文件需要执行，比如验证码，但是一般不需要修改。所以允许脚本执行，拒绝写入。

6、install 这个目录在系统安全完之后，直接delete。 系统部署之后，这个文件夹就没有用了

7、member 如果不使用会员系统，这个目录夹也可以直接删除。

8、plus 这个插件目录，不需要修改的，允许脚本执行，拒绝写入

9、special 这个专题文件夹，一般我们会改名。与a目录一样，拒绝脚本执行，充许写入

10、templets 这相模板目录，拒绝执行，拒绝写入。黑客主要想改的就是它，所以一定要写入，虽然拒绝写入之后，比较麻烦，如果修改模板，要先充许写入，再修改再去拒绝写入，但是不要嫌麻烦，毕竟为了安全嘛。

11，uploads 上传目录，不用说必须拒绝脚本，充许写入，一个不小心，黑客就给你上传个木马上来了，。

除此之外，还有一些需要做的，就是修改后台dede的目录名，减少一个风险，还有就是将data目录根目录之外，这也是官方要求做的，但是不得不说，这会带来很多问题，比如访问根目录下面的index.php会了错，三级联动也会出错。 index.php 可以通过修改代码解决，如果你不需要三级联动功能，可以移出data。

操作方法：

1、修改/include/common.inc.php

将 define('DEDEDATA', DEDEROOT.'/data');

改成： define('DEDEDATA', DEDEROOT.'/../data');

2、到后台系统基本设置->性能选项 里面设置 模板缓存目录为 /../data/tplcache



或者直接进dede_sysconfig 里面修改 cfg_tplcache_dir 的值为 /../data/tplcache

dedecms系统程序plus 目录里的很多功能，是一些压根用不到的插件，不需要的插件可以删除。