織夢(dedecms) 漏洞頻出，讓一些站長惶恐，不過掌握一些基本知識可以讓你在遇到這些問題時，不再那么害怕與無助。

　　不管是最近的用戶發表文章自定義模版漏洞還是這個carbuyaction.php 本地包含文件漏洞，還是之前的什么會員中心上傳發表漏洞，有沒有發現他們都有一些共同點?

　　首先都要進入會員中心操作，再次都要先上傳一個圖片文件(這個所謂的圖片文件是包含PHP腳本的改了后綴的偽造文件)然后再利用程序漏洞，將這些圖片中包含的PHP代碼轉化執行，進而得到webshell，對你的站點進行掛馬等操作。

　　了解了漏洞的執行過程，我們在防范時，就會容易得多：

　　1、經常查看程序官方公告，一般都會及時給出補丁程序，及時更新。

　　2、如果你的網站會員中心沒什么用處，直接將會員模塊/member/ 目錄刪除，利用者沒有會員中心，即無從上傳，可避免大部分漏洞。

　　3、如果你還要用會員中心，那么能不要上傳的就關閉上傳，盡可能減少被上傳木馬的風險。

　　如果你做了以上操作，還是中招了，學會從網站訪問日志(IIS日志)中分析問題，以被上傳的木馬名為關鍵字，在日志中搜尋，一般可以得到一些信息，利用者是從哪個位置上傳了木馬。

　　烈火補充：

　　DedeCms中 data、templets、uploads、html、special、images、install目錄設置為不允許執行腳本，其它目錄禁止寫入，系統將更安全，操作步驟如下：

　　打開IIS管理器，右擊網站-屬性-將執行權限的“純腳本”改為“無”，這樣，即使有黑客程序傳到相關目錄，也不會有執行權限，保證系統安全