DEDEcms5.7各个文件的作用与安全防御设置

DEDEcms5.7各个文件的作用与安全防御设置

对于目录而言：

1. 读权限允许用户标识读取目录中的文件名，只能列举目录中的文件名，不能进入该目录，相应也不能查看目录下各文件的大小；
2. 写权限允许用户标识修改目录（创建、移动、复制、删除）；
3. 执行权限允许用户搜索该目录：

 

|-- a 静态HTML文件保存目录

|-- data 系统缓存/备份目录

|-- data -- admin 网站后台配置目录

|-- data -- backupdata 数据库备份目录

|-- data -- cache 缓存目录

|-- data -- enums 联动菜单目录

|-- data -- js 静态JS调用目录

|-- data -- mail 邮箱地址存放目录

|-- data -- mark 缩略图相关配置目录

|-- data -- module 模块安装包目录

|-- data -- payment 相关支付接口目录

|-- data -- rss RSS订阅目录

|-- data -- safe 验证安全配置目录

|-- data -- sessions 系统Sessions文件目录

|-- data -- tag SQL标签高级连接配置目录

|-- data -- textdata 文本数据保存目录

|-- data -- tplcache 标签缓存存放目录

|-- data -- uploadtmp 上传文件临时保存目录

|-- data -- vote 静态投票JS存放目录

|-- data -- ziptmp ZIP文件在线解压临时文件保存目录

|-- dede 默认后台目录

|-- images 网站图片、样式目录

|-- include 系统核心类、库、函数目录

|-- include -- calendar 通用日历组件目录

|-- include -- ckeditor 网站编辑器目录

|-- inlcude -- code 通用分页编码

|-- include -- data 各类通用数据（编码转换、获取拼音等）

|-- include -- dialog 系统文件上传相关目录

|-- include -- helpers 小助手目录（V5.7 以上）

|-- inlcude -- inc 通用函数目录

|-- inlucde -- js V5.7以上新增的各类庞大的JS库，但用到的却不多。

|-- inlcude -- payment 在线支付接口目录

|-- inlcude -- taglib 标签源码

|-- inlcude -- tpllib 插件标签

|-- install 系统安装程序目录

|-- member 前台会员目录

|-- member -- inc 会员功能相关配置目录

|-- member -- space 会员空间多风格目录

|-- member -- templets 会员相关模板风格目录

|-- special 前台专题目录

|-- templets 前台模板风格目录

|-- templets -- default 默认模板风格目录

|-- templets -- lurd Lurd相关风格

|-- templets -- plus 插件风格目录

|-- templets -- system 系统底层模板风格目录

|-- uploads 上传附件保存目录

 

 

安全防御：

一、数据库安全

dedecms使用的是mysql数据库，那么Mysql数据库信息不要设置得过于简单，建议不要使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限，数据库密码设置得复杂些。

二、删除install安装目录

dedecms安装完成后，网站根目录的安装目录install/就没有作用了，为了防止别人利用，最好把install文件夹整个删除。

三、修改后台管理目录名称

dedecms默认后台管理目录是dede，很容易被黑客获知，因此建议修改后台管理目录文件夹，登陆FTP把网站根目录下的dede/文件夹重命名，修改为其它名称即可。修改后登陆后台的URL即是：http://域名/修改后的文件夹名称/login.php

 

四、设置目录权限

对data/、templets/、uploads/、a/网站目录文件夹设置为755可读可执行不可写入权限。

对include/、member/、plus/、dede/网站目录文件夹设置为755可读可执行不可写入权限。其中后台管理目录(默认dede)，可自行修改。

 

五、删除无用的目录

很多站长使用dedecms搭建网站并没有开启会员功能、专题功能，如果确认不需要使用会员、专题，可以直接删除网站根目录里的member、special、m、目录d等。只需保留以下四个即可，外加一个站外的data目录；就现有的搜索功能来说，目前只需要用到这些。

 

 

六、修改帐号密码

很多站长习惯使用admin作为用户名，密码也设置的比较简单，这非常影响网站安全，管理员帐号密码要尽量设置复杂，发布文章可以新建频道管理员，并且只给予相关权限。

 所以删除默认admin账号，重新添加一个超级管理员，设置复杂密码密码应该由大写字母、小写字母和数字组成

七、修改/data/common.inc.php 这个文件权限为444，只能读取

找到 “common.inc.php”，找到 “安全”，找到站点名称

 

八、改变织梦data目录位置。

data目录用于存放织梦系统一些重要的配置文件与数据，应该予以重点保护。具体操作步骤为：

新建一目录用于存放data目录，如mydataabc，将DATA目录移动到该目录下。这样data的完整目录变成/mydataabc/data，或者将data目录移到web之外。综合考虑无论是改名字还是新建文件夹，都没有移到站外更安全；

 

1.举例“D:\dedecms\v57”为我们系统的根目录,我们需要将目录下的data文件夹(如图1)迁移要上一级目录(非Web目录)，简单的办法直接剪切或者拷贝即可。

 

2.修改DEDEDATA目录的配置常量

找到系统目录下/include/common.inc.php文件，修改DEDEDATA常量为你的系统目录。

 

 

 

3.配置tplcache缓存文件目录

进入系统后台，在配置中修改tplcache目录为你想对目录。

 

 

 

十、后台管理目录下 file_manage_xxx.php 和下载发布功能（后台管理目录下soft__xxx_xxx.php） ，不用的可以做掉，这个不是很安全，至少进了后台上传小马很方便。所以更新外网时直接把dede整个过滤掉，不要传到外网。

 

十一、定期备份

备份永远是最好的保障，一旦网站被黑或被删除可以在第一时间恢复网站，最大限度地减少损失。建议dedecms站长定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复，发现问题尽快修复。