藍色安防器材公司類整站模板

工業環保工程類企業網站織夢模板(帶手機端)

html5響應式網站織夢模板源碼IT網絡工作室織夢網

軟件APP類網站源碼織夢通用型企業網站源碼html

官方設置（推薦）：
1、以下目錄：data、templets、uploads、a設置可讀寫不可執行權限。其中a目錄為文檔HTML默認保存路徑，可以在后臺進行更改；
2、以下目錄：include、member、plus、dede設置為可讀可執行不可寫入權限。其中后臺管理目錄(默認dede)，可自行修改；
3、如果不需要使用會員、專題，可以直接刪除member、special目錄；
4、刪除install安裝目錄；
5、管理員帳號密碼盡量設置復雜，發布文章可以新建頻道管理員，并且只給予相關權限；
6、Mysql數據庫鏈接，不使用root用戶，單獨建立新用戶，并給予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES權限；
7、定期進行備份網站目錄和數據庫，并在后臺進行文件校驗、病毒掃描、系統錯誤修復。

網友總結一：
不知道大家知不知道一個軟件叫IntelliTamper的，這是個網站目錄掃描工具，用這個工具掃描下你的網站就可以掃描出網站的目錄，當然也可以看到DEDE后臺文件名。在這里不得不吐槽下后臺地址的問題，dedeCMS改后臺地址只要改下DEDE文件夾的名字就行了，然后有次我在一個電商公司管理ECShop系統，技術部的老總（他P都不懂）在旁邊，我跟他說網站改下后臺地址就更安全了。于是我跟用DEDE一樣改下后臺文件夾名字，然后…..FK，竟然出錯了，當時臉紅紅的（窘…）。上度娘一查，原來還要修改一些PHP文件才可以的。然后這次玩WP，不敢亂改后臺文件夾的名字了，再次上度娘找改后臺地址的方法，妹的，竟然沒一個好用的…..（貌似我又跑題了）
所謂的安全方案原理就是：網站所有靜態頁面生成到根目錄，對瀏覽者隱藏dede安裝目錄。這樣別人不管用什么工具都不能檢測到你的后臺地址了。
在這里所說的，就是你把網站做好，在空間或者服務器上安裝好了之后，網站運行一切正常，再設置安全方案，當然，最好是在本地就把安全方案也一塊做了。
1.主頁生成路徑
把主頁生成路徑的位置改成 ../../index.htm

2.修改欄目文件保存位置
把核心-網站欄目管理-選一個欄目更改，然后在文件保存目錄那 的 {cmspath}/a/xinwendongtai 把{cmspath} 刪掉，也就是說只要 /a/xinwendongtai 前面的斜杠記得留著，注意：必須每個欄目都點擊更改來刪除，當然你也可以到數據用替換命令。改完確定后，靜態文件就會保存在根目錄的a文件夾里面了。
修改include/common.inc.php文件
打開根目錄下的include文件夾，找到里面的common.inc.php打開，搜索里面的
$cfg_medias_dir = $cfg_cmspath.$cfg_medias_dir;
$cfg_mediasurl = $cfg_mainsite.$cfg_medias_dir;
改成
$cfg_medias_dir =$cfg_medias_dir;
$cfg_mediasurl =$cfg_medias_dir;

$cfg_mainsite.是指網站根目錄 $cfg_mainsite.是指網站縮略圖路徑，就是把縮略圖路徑改到根目錄。大家知道，縮略圖是放在DEDE后臺目錄下的images文件夾，所以…..

打開include/arc.listview.class.php跟 include/taglib/arclist.lib.php查找defaultpic.gif，就是縮略圖的文件名。定位到
$row[‘litpic’] = $GLOBALS[‘cfg_cmspath’].’/images/defaultpic.gif’;
把images前面的 $GLOBALS[‘cfg_cmspath’]. 刪除，就變成
$row[‘litpic’] = ‘/images/defaultpic.gif’;
注意：這兩個文件只會影響arclist和list標簽調默認縮略圖。還有其它一些標簽也可以調默認縮略圖的。
還要在模板文件中不能使用{dede:global.cfg_templets_skin/}標簽，一使用就會暴露dede安裝目錄的名字，請自行查找。

DEDE織夢CMS終極安全解決方案
移動css文件、JS文件、圖片文件

因為模板用的樣式文件圖片都是放在模板文件夾中，一看址就會暴露，所以，這里要把網站涉及的css文件、JS文件、圖片文件通通放到根目錄。然后到模板里面修改圖片還有樣式文件調用的路徑。建議到本地修改，因為DW的替換功能可以文件夾替換，一般都是刪除{dede:global.cfg_templets_skin/}就可以了。
移動DEDE文件

到根目錄新建一個文件夾，比如改名xiedandan，名字自己取，然后把data、dede、include、plus、special、tags.php移動到新建的文件夾xiedandan中，所以后臺登陸地址就是www.xiedandan.com/xiedandan/dede
注意：member文件夾是會員功能，如果不用的可以刪除，當然，你也可以一起移動到新建的文件夾中。什么？install文件夾你都不刪除？這是安裝文件阿，裝好后必須刪！
還有將dede安裝目錄下的uploads復制到根目錄。
最后來張全家福
DEDE織夢CMS終極安全解決方案
最后的最后，再用IntelliTamper檢測下你的網站吧，看看是不是檢測不到模板、后臺地址了？

網友總結二：
本人以前所有dede的網站都被黑了，dede是好用，優化也好，就是不安全，個人是這樣認為的，所以以后網站都不敢用dede，直到昨天一哥們發我收集dede的所有安全設置，里面寫得很細，一看，還真多，如果做好這些安全設置的話，就不要怕網站被黑了！

其一：保持DEDE更新，及時打補丁。
其二：裝好DEDE后及時把install文件夾刪除
其三：管理目錄改名，最好是改成MD5形式的，最好長點
其四：DedeCms 萬能安全防護代碼http://bbs.dedecms.com/read.php?tid=15538
其五：如果是使用HTML可以把plus下的相應文件和根目錄下的index.php做掉（用不到的全刪掉，還可以把數據庫里面不用的表刪除掉）
其六：不用留言本的可以把如：www.xxxxxx.com/plus下的guestbook做掉
其七：不用會員的可以把member做掉
其八：www.xxxxxx.com后臺的文件管理（管理目錄下file_manage_xxx.php），不用的可以做掉，這個不是很安全，至少進了后臺上傳小馬很方便
其九：下載發布功能（管理目錄下soft__xxx_xxx.php），不用的話可以做掉，這個也比較容易上傳小馬的
最安全地方式：本地發布html，然后上傳到空間。不包含任何動態內容，理論上最安全。

第一：掛馬前的安全措失
a、改更默認管理目錄dede。
b、檢查install目錄里是否存在install.lock文件。有用戶沒給install目錄寫權限導致安裝的時候沒有生成lock文件。安裝完成后可整個刪除intstall目錄。
c、關注后臺更新通知，檢查是否打上最新dedeCMS補丁
d、服務器web目錄權限設置
有條件的用戶把DedeCms中data、templets、uploads、html、special、images、install目錄設置為不允許執行腳本，其它目錄禁止寫入，系統將更安全。
e、建議到官方下載程序
f、服務器安全措施(以windows2003系統為例)

1、更新系統補丁到最新的，并打開自動更新
2、安裝殺毒軟件，更新病毒庫到最新，并打開自動更新
3、打開系統自帶的防火墻，開放應用中的端口，以過濾不必要的端口訪問
4、打開tcp/ip安全策略，開放應用中的端口，以過濾不必要的端口訪問
5、打開用戶與用戶組管理，添加IUSR用戶對應不同WEB站點，以便分權限管理減少因一站點被黑帶來的權限危機
6、針對不同的WEB目錄設置不同的權限

例：WebSiteA目錄對應權限一般為system/administrators完全權限　IUSR_websiteA只讀權限
WebsiteA下面的子目錄根據DedeCMS程序的需求分配IUSR_websiteA的寫入運行權限，詳見上面b點目錄權限說明
7、不要在服務器上安裝不明來路的軟件
8、不要在服務器上安裝什么破解版漢化版軟件，如果實在需要建議用原版
9、建議不要安裝ServU FTP軟件，換用其它的FTP軟件，更改FTP端口，用戶密碼不要太簡單
10、如果不需要請盡量關閉服務應用的遠程訪問功能，如mysql user的遠程訪問
11、針對上面一點，可以運用本地安全策略功能，設置允許訪問IP。
12、運用本地安全策略，還可以有效拒絕CC攻擊，過濾來源IP的訪問。
13、服務器上各項服務應用注意及時更新補丁，如mssql切記打補丁，而且要使用正版的，沒條件的也要使用正規的復制版本
14、服務器上的各項應用如IIS配置mysql配置，請搜索百度谷歌這方面的安全應用的專題，加強內功是很重要的。
15、開啟IIS的訪問日志記錄

第二：掛馬后的安全檢查
必要時關閉網站進入一步步排查
a、進DedeCMS管理后臺檢查是否有新補丁或安全提醒沒有及時更新。
b、檢查源文件中是否有相應木馬病毒代碼，以確認是否為ARP攻擊

ARP攻擊表現：程序文件毫無異動，攻擊是采用欺騙目標網關以達到欺騙用戶端的效果，實現用戶端訪問網站加載木馬的目的。
ARP攻擊防范：對服務器加裝防ARP攻擊類的軟件及其它應對措施，或聯系您的IDC服務商。
c、檢查目錄權限，詳見第一大點里的安全措施。
d、檢查FTP里的每一個目錄，查找最近被修改過的可疑文件。
1、用記事本等類工具打開查找，如果是真被掛馬，這里分析下都能找到。
2、如果是整站被掛，請著重先檢查下整站調用的js文件。
3、從文件中找出被掛的代碼，復制代碼的關鍵語句部分，打開替換類軟件批量替或批量找吧。
4、上面一步需要有服務器控制權限，沒有的話只能下載回來批了。(這是謹慎的辦法，如果你有把握那可以只檢查部分文件或目錄)
e、上面還是解決不了，那得分析IISLOG日志，追根朔源查找入侵點。
你可以下載IISlog分析類軟件研究。

第三：如何向官方求助或報告安全問題？
1、查看木馬、可疑文件的修改時間
2、查看站點系統日志，對照第1點所獲得的時間，找出掛馬的方式。
3、請先認真閱讀理解一二大點，確認仍無法解決的，請論壇PM官方技術支持