为什么你的网站总是被侵略

1、漏洞的多少除了程序本身之外，和使用量也有关，织梦dedecms的市场占有率相当高，用的人也多，肯定打听漏洞的人就多了，甚至网上除了各种针对织梦漏洞爆破挂马的工具，连刚出生的婴儿都能操作方式的批量挂马工具，问你害怕了没，相反有的程序都没有几个人用，没有人找漏洞，曝露出来的也就少了。

2、织梦dedecms官方不做为，最近1，2年除了常规更新，其他更新早已停更很久很久。

3、由于织梦dedecms的直观上五小时，很多新手和小白前期没有了解过织梦安全这一块，网站上线后连后台目录dede文件夹也不能取消，甚至连预设的管理员账号密码都就是默认的，别人随意进入后台搞乱。

Ps：如果你又想安全又不想放弃织梦，那就跟著我看下面的教程，动手打造一个安全的织梦网站吧，下面的教程只是常规的防范，不足以应付那些利用工具扫站和打架的小人小屁孩，更深入的安全防水将在下一个教程说织梦内核更名和各个文件夹权限，一已经开始太复杂我怕整昏倒你，为了你的身心健康还是先从简单开始吧。

织梦cms安全设置教程

无论你网站现在就是被串改、被挂马、被入侵 还是 刚刚才用织梦建的网站，都建议你现在跟著我动手给它打一针预防针，万一疫苗有效呢。

本站所有教程一律禁止在记事本上修正，强烈建议采用 Noptepad++ 或者 Sublime Text 或者 dreamweaver 去修改。

本站所有教程里的图片都会存有QQ水印，为了避免被一些小人坏人利用这些原创免费的教程到处骗人骗钱。

该教程略长，而且操作的地方多，建议你多看几遍知道大纲和步骤后再按步骤来操作，做不来可以下载恳请我去代劳哦，呵~

第一步：备份

1-1、后台-系统-数据库备份/还原成，数据备份。

1-2、打包整站下载到你电脑上来，防止被改坏了无法还原回去。装箱可以利用主机面板的打包功能，快速又方便。

第二步：最新织梦

http://www.dedecms.com/products/dedecms/downloads/ [官网] 下载对应编码的最新织梦程序包

第三步：删除最新织梦程序包那些不行的又容易被挂马入侵的程序文件

3-1、删除以下文件夹和文件

member 会员文件夹整个删除

special 专题文件夹整个删除

install 安装文件夹整个删掉

Robots.txt 文件删除

3-2、删除 /templets/default 官方预设模板这个文件夹

3-3、plus 文件夹除了以下 1个文件夹 和 5个php文件，其他的文件统统删除

/plus/img (这个文件夹)

/plus/count.php

/plus/diy.php

/plus/list.php

/plus/search.php

/plus/view.php

3-4、把 dede 后台文件夹改名，改为繁杂一点，换成爹妈都不认识它。

第四步：修复刚刚下载的织梦最新程序包里未知漏洞

4-1、打开 /include/dialog/select_soft_post.php 找出

$fullfilename = $cfg_basedir.$activepath."/".$filename;激活1

在它上面加入

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你选定的文件名被系统禁止！",'javascript:;'); exit();
}

4-2、打开 /dede/media_add.php 找出

$fullfilename = $cfg_basedir.$filename;复制1

在它上面加入

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){
ShowMsg("你指定的文件名被系统严禁！",'java script:;'); exit();
}

第五步：从第一步的整站备份文件缠里检查 模板 和 文档图片文件夹 是否存有挂马和后门等蹊跷文件或代码

这一步须要一点专业知识，如果你真的稀奇古怪，就到群里虚心请教，碰到蹊跷的地方截图求教别人，慢慢见到的后门和木马代码多了，你就距成为大神不远了。

5-1、每一个跟模板有关的js文件都必须一一打开去细心检查，因为挂马很多在js文件中，不然你前面和后面的工作都黑做了。

5-2、每一个跟模板有关的css 和 images 文件夹下都必须细心检查与否有后门文件，除了图片文件、css文件、字体文件，其他的一律删除，删错了也不用担心，存有整站装箱的备份在。

5-3、每一个模板htm文件都必须细心检查与否存有挂马代码存有，检查你的模板文件夹里与否有后门文件，比如说php文件，asp文件，其他蹊跷的格式文件一律删掉，删错了也不用担心，有整站装箱的备份在。

5-4、你备份文件中的文档图片文件夹 uploads 文件夹，每一个文件夹都必须打开，都要细心检查是否有后门文件，除了图片文件和你的附件，其他的一律删除，删错了也不必担心，有整站打包的备份在。

5-5、/data/common.inc.php 和  /data/config.cache.inc.php 一会配合打包要使用，所以也必须检查。

5-6、/include/extend.func.php 可能存有二次开发的自定义方法在里面，所以也要检查。

5-7、其他你曾经二次开发修正过的文件。

第六步：把第五步处置过的以下文件和文件夹导入到你第一步处理过的官方最新程序而且删掉和修复漏洞的那个文件夹对应的位置里

/data/common.inc.php

/data/config.cache.inc.php

/include/extend.func.php

/templets/你的模板文件夹

/uploads

其他你曾经二次开发修改过的文件

还有可能你的模板关联的css 和 js 和 images图片，这个自己假使，复制进来后，打包本地整好的文件

第七步：清空线上网站所有文件，上传本地整好的文件包

7-1、把主机里现在网站里的所有文件清空，不须要到mysql清除数据哦。虚拟主机的小伙伴可以借助主机面板一键清空，省事又整洁。

7-2、把刚刚整理好的最新程序打包上传到主机里读写出，不需要重新安装哦

7-3、登录网站后台，打开 系统-系统设置-基本参数，点击证实一次，再回去生成全站。

第八步：后台-模块-广告管理，检查是否存有挂马的广告，如果不用广告模块记得清空所有广告，或者用SQL命令一键批量删除

后台-系统-SQL命令行工具，执行

TRUNCATE #@__myad;TRUNCATE #@__myadtype;激活12

第九步：利用伪静态功能禁止以下目录运行php脚本

Linux主机的用户通常都就是apache环境，采用 .htaccess 文件来设置，如果你网站根目录已经存有这个文件，那就复制一下代码添加进来，没有这个文件的小伙伴可以下载下来放进去

RewriteEngine on#安全设置 严禁以下目录运行选定php脚本

RewriteCond % !^$RewriteRule a/(.*).(php)$ – [F]RewriteRule data/(.*).(php)$ – [F]RewriteRule templets/(.*).(php|htm)$ – [F]RewriteRule uploads/(.*).(php)$ – [F]

.htaccess  文件下载

https://pan.baidu.com/s/1E3QQw6iXg7RZhJ2AsS-KSA

Windows主机的用户一般都就是iis7、iis8环境，使用 web.config 文件去设置，请证实你的主机已经开启了伪静态而且网站根目录有 web.config 文件，有这个文件的可以复制以下代码添加至对应的rules内，没这个文件的小伙伴可以下载下来放进去

web.config 文件下载

https://pan.baidu.com/s/1I24VYxGPezDWgPVdxHzq9Q

Nginx下严禁选定目录运行PHP脚本

注意:这段配置文件一定必须放在 location ~ .php(.*)$ 的前面才可以生效，配置完后记得重启Nginx生效。

location ~* /(a|data|templets|uploads)/(.*).(php)$ { return 403;}

宝塔面板的在配置文件里找出PHP提及配置

宝塔面板的小伙伴想一次性给所有网站加这个的话，看右图操作

百度云Nginx虚拟主机，打开伪静态后，手动添加个 bcloud_nginx_user.conf 摆网站根目录

location ~* /(a|data|templets|uploads)/(.*).(php)$ { return 403;}

第九步尤其重要，如何检验第八步是否生效呢

用 Noptepad++ 或者 Sublime Text 或者 Dreamweaver 新建一个php文件，名为1.php，里面随便踢几个数字即可

上传至你网站的 uploads 文件夹里，然后在浏览器上打开 http://域名/uploads/1.php

这样提示信息表示生效了

如果是能够正常显示你写的数字，那则表示没生效，有风险，想办法使它生效吧。

好了，自己动手做一下织梦安全防水或者挂马处置的教程到此结束，有什么地方写的不妥你去踢我啊，开玩笑的，欠妥的地方还请海涵或者拍入告诉我，多谢。