Dedecms做為國內使用最為廣泛使用人數最多的CMS之一，相信很多站長和我一樣選擇了它，它的優點我就不多說了。可是令很多站長頭疼的是，用dedecms建的站經常被人莫名其妙的掛馬，造成滿頁黑鏈、廣告、彈框，令人氣憤；更為可怕的是，還有可能被搜索引擎懲罰，辛辛苦苦建立的站，眼睜睜的看它權重下降，收錄減少，甚至被K；更為嚴重的則服務器成為肉機，寶貴數據丟失。其實，對于dedecms掛馬，我們完全可以防范于未然。今天，筆者就自己的體會從以下幾點和廣大dede愛好者們談談怎樣防止dedecms被掛馬，提高Dedecms的安全。

先來看看原因吧，為什么PHP程序經常出漏洞，其實是由PHP程序本身決定的。PHP可復用性低，導致程序結構錯綜復雜，到處是冗余代碼，這樣不僅利于漏洞的產生，還影響漏洞的修復；PHP程序入門簡單且普遍開源，導致很多人都可直接閱讀代碼，搜尋漏洞；這樣便有源源不斷的漏洞被發現、被修復、被發現。而當前流行的PHP系統習慣用以文件形式做為緩存，這樣就需要開放文件的寫入權限，這無疑成為PHP系統的軟肋。目前針對PHP系統的攻擊方式，除了已經很少出現的“注入”攻擊外，大部分攻擊都是通過系統的某個漏洞，向可寫文件里插入一句話木馬，以此方式獲得shell。

網站安全從來都是服務器配置、文件權限控制和網站程序三者的相互配合，“可執行的文件不允許被修改，可寫文件不允許被訪問”這是網站權限控制的根本原則，網站程序在“可寫文件不允許被訪問”方面可做許多工作。就拿Dedecms來說，我們可以在如下幾個方面做好保護。

1、我們下載并安裝了程序之后，首先就是要設置目錄權限，這樣即使木馬突破服務器的限制，我們也讓它找不到進一步破壞的地方。我們可以把data、templets、uploads設置為可讀寫，不可執行權限。把include、member、plus、后臺管理目錄 設置為可讀，可執行，不可寫入權限（安裝了附加模塊的，book、ask、company、group 目錄同樣如此設置）。

2、改名根目錄下的data目錄，或者移動到網站目錄外面。data目錄便是最藏污納垢的地方，系統經常要往這個目錄寫數據，這個目錄下的任何一個文件都可以通過URL訪問到，所以要讓瀏覽器訪問不到里面的文件，就需要將此目錄改名，或者移動到網站的目錄外面去。這樣，即使別人通過漏洞往文件里寫入了一句話木馬，他也找不到此木馬所在的文件路徑，無法繼續展開攻擊。因為Dedecms程序的設置，所以改名data目錄操作比較復雜，具體做法可以參考：如何將織夢的data目錄遷移到根目錄以外

3、程序越大、漏洞就越多，我們就需要精簡網站，一些不常用的dedecms功能，我們的網站用不到的功能就可以刪除。

比如 dedecms的member文件夾是會員系統，用不到可以刪除；

special是專題，用不到可以刪除；需要可以在生成HTML后，刪除。

company是企業功能模塊，用不到可以刪除；

plusguest/book 是留言板，用不到可以刪除；

install是安裝程序，install在程序安裝完后刪除它。(強烈建議刪除或者改名)

dede是網站后臺管理目錄，請把dede改名，越復雜越安全，但是自己一定要記住，最好不要用網站名稱之類容易猜到的。后臺地址隱藏好，即使別人獲得了你的管理員賬號、密碼，也無法登錄。

所有PHP開源程序安全設置都有相通之處，要學會舉一反三。不妨學習一下其它開源系統的網站安全設置經驗。

4、FTP密碼復雜化，如果你的FTP密碼很簡單，就很容易被黑客猜中。因此盡量將FTP密碼設置的復雜一些，最好字母+數字組合，10位以上，讓那些破解程序破解去吧（我們空間默認的FTP密碼就是復雜隨機密碼，更改密碼之后一定要牢記密碼）。

5、網上流傳的經典防黑客注入方法（DEDE防注入兩方法）

一是將每個目錄添加空的index.html，防止目錄被訪問；

二是給做好網站301頁面、403頁面、404頁面可以禁止訪問某頁或某文件。

6、多關注官方平臺，登錄網站后臺看看系統主頁有沒有升級更新的補丁提示，及時更新和升級補丁。友情提示：升級程序之前別忘記了重要數據的備份，包括圖片、模板等。

7、最后一點，數據備份。其實即使我們做到了最嚴格的防范，也不能完全防止被掛馬，正所謂道高一尺魔高一丈！所以你的網站數據一定要經常備份。這樣就算是網站被黑，也能通過重裝程序還原數據，將損失降低到最低，畢竟數據是站長們最寶貴的財富。