很多網(wǎng)站站長(zhǎng)使用織夢(mèng)CMS程序做網(wǎng)站，在10個(gè)人當(dāng)中就有9個(gè)人都說DedeCMS織夢(mèng)程序織夢(mèng)漏洞多，網(wǎng)站被掛馬中毒了，或者首頁(yè)被挾持、被串改、被掛馬、被入侵之后都怪織夢(mèng)CMS程序？根本不看看到底是不是網(wǎng)站自身的防護(hù)措施做得不夠好、不到位之類的。這是一個(gè)很大的誤區(qū)，其他別人認(rèn)為很安全的程序，比如帝國(guó)CMS，如果你的不做任何安全防護(hù)，也是很容易被掛馬中毒的。

使用DedeCMS織夢(mèng)程序網(wǎng)站被黑被掛馬的原因分析

如何避免網(wǎng)站被黑，使用織夢(mèng)程序也能安全、穩(wěn)定、持續(xù)的一直把網(wǎng)站做下去。

雖然織夢(mèng)程序漏洞很多，那全部都是因?yàn)榭棄?mèng)程序功能強(qiáng)大，如果使用程序默認(rèn)的全部功能和不刪除多余的php文件的話，網(wǎng)站上線不到一個(gè)星期就有可能被掛馬。你知道別人為什么只掛馬首頁(yè)嗎？因?yàn)槊總€(gè)網(wǎng)站的首頁(yè)權(quán)重最高，訪問網(wǎng)站首頁(yè)的人最多，不管是有權(quán)重還是沒有權(quán)重的，只要是網(wǎng)站的首頁(yè)，一般來說只要收錄就會(huì)有一定的排名。所以，大多數(shù)掛馬的小朋友都是使用軟件掃描網(wǎng)站漏洞，然后上傳js或者圖片木馬掛馬、挾持網(wǎng)站首頁(yè)快照。

分析織夢(mèng)漏洞掃描器的原理。

說到織夢(mèng)漏洞掃描器的原理：

1、掃描網(wǎng)站域名或者服務(wù)器ip地址。

2、掃描是否是使用織夢(mèng)程序網(wǎng)站。掃描網(wǎng)站根目錄是否存在data、dede、include、member、plus、a、templets、uploads、只要是存在這些文件夾目錄的就能確認(rèn)是織夢(mèng)程序網(wǎng)站。

3、掃描data、dede、include、member、plus、目錄下的php文件漏洞，比如plus織夢(mèng)插件目錄，廣告插件php文件DedeCMS-V5.7-UTF8-SP2/plus/ad_js.php就存在漏洞。還有織夢(mèng)留言板guestbook.php文件也是。在網(wǎng)上查找“織夢(mèng)漏洞”就知道哪些文件有漏洞啦。·

4、掃描織夢(mèng)表dede_前綴，所以用織夢(mèng)程序，dede表前綴也要改，防止SQL漏洞。雖然表前綴看重沒有什么作用，但是，如果網(wǎng)站表前綴暴露和網(wǎng)站目錄暴露都將是網(wǎng)站的漏洞。

5、對(duì)于真正的“黑客”真的是很少，而且，網(wǎng)站權(quán)重不高的網(wǎng)站黑客根本不理會(huì)，所以，低權(quán)重、新站就被挾持、被串改、被掛馬、被入侵的，100%敢確定是利用軟件、或者織夢(mèng)漏洞掃描器掃描網(wǎng)站漏洞的，具體是什么軟件我也不清楚，但是我能告訴你的，就是如何使用織夢(mèng)CMS安全又不被掃描、入侵。

分析完織夢(mèng)漏洞掃描器以后，我們就應(yīng)該做好網(wǎng)站的安全防護(hù)措施，避免自己的網(wǎng)站被別人掃描，避免別人拿自己的網(wǎng)站當(dāng)做反面教程來練手，為此，個(gè)人網(wǎng)希望更多使用的織夢(mèng)CMS程序的網(wǎng)站能一直安全的做下去，做好、做大、做強(qiáng)、從權(quán)0-權(quán)9。這篇織夢(mèng)程序防黑教程送給所有曾經(jīng)詆毀過織夢(mèng)程序的朋友，其實(shí)，網(wǎng)站的安全不在程序、而在于站長(zhǎng)的安全防范意識(shí)，不管是使用什么程序做網(wǎng)站、只要是開源的都有漏洞、只是找漏洞的人多不多而已。

使用DedeCMS織夢(mèng)程序降低網(wǎng)站被黑的防護(hù)措施和防御方法。

經(jīng)過分析和總結(jié)出來以后，做好以下幾條可以有效的防御和降低織夢(mèng)CMS程序網(wǎng)站被黑幾率的防御方法；

第一、刪除多余的php文件、使用別人的模板、使用自己的內(nèi)核。

推薦使用修改的織夢(mèng)CMS或者自己修改也可以。

第二、改名所有的織夢(mèng)默認(rèn)文件名

最主要的是data、dede、include、member、plus等目錄。

第三、使用linux系統(tǒng)和使用.htaccess偽靜態(tài)文件

使用.htaccess文件禁止指定目錄運(yùn)行php文件，比如；a、templets、uploads、images目錄等

第四、使用寶塔控制面板拒絕使用phpMyAdmin管理數(shù)據(jù)庫(kù)

很多人使用織夢(mèng)程序都說是織夢(mèng)的漏洞，為什么不說說是寶塔控制面板phpMyAdmin也存在漏洞呢？其實(shí)寶塔控制面板的漏洞比織夢(mèng)CMS程序的漏洞還多，因?yàn)楹芏嗳俗鼍W(wǎng)站都太多人依賴于寶塔。

第五、不管是使用寶塔控制面板還是phpStudy，只使用php運(yùn)行環(huán)境而不使用phpMyAdmin功能

第六、刪除網(wǎng)站根目錄下的phpMyAdmin數(shù)據(jù)庫(kù)管理

或者可以改名phpMyAdmin目錄以后還是可以使用phpMyAdmin管理數(shù)據(jù)庫(kù)的，但是在未改名之前，phpMyAdmin就是一個(gè)隱患，不懂的不會(huì)的不知道怎么破解，但是遇到懂的會(huì)的你的網(wǎng)站使用phpMyAdmin就會(huì)遭殃。所以強(qiáng)烈推薦不使用phpMyAdmin功能。

第七、做好程序備份

網(wǎng)站上線前，所有程序打包，打包好以后上傳服務(wù)器或者空間解壓安裝織夢(mèng)程序。安裝完成以后，記得。刪除服務(wù)器端install安裝文件和改名dede后臺(tái)目錄，最好使用類似（XF-Y+2FTp!=666.S4）目錄名稱

線上制作發(fā)布文章操作、線下修改網(wǎng)站程序和實(shí)驗(yàn)新功能（簡(jiǎn)單的說就是織夢(mèng)二次開發(fā)都在本地測(cè)試），網(wǎng)站模板更改也是在本地測(cè)試。

線上備份data/backupdata文件目錄是備份文件，下載覆蓋本地可還原跟線上一樣，然后下載線上uploads圖片上傳目錄就跟線上、本地都是一樣的，不信你試試。

第八、設(shè)置根目錄下index.php、tags.php為只讀文件，robots.txt文件也不寫全名

第九、網(wǎng)站上線前最好做做網(wǎng)站鏈接優(yōu)化

因?yàn)榭棄?mèng)程序的默認(rèn)鏈接很長(zhǎng)很長(zhǎng)，都是五層甚至六層，優(yōu)化到三層有利于管理有利于收錄優(yōu)化，兩層有利于收錄優(yōu)化但不利于管理。相信就知道，如果文章發(fā)布的少，一千篇文章生成在根目錄還行，但是以后網(wǎng)站做大以后一萬、十萬呢。網(wǎng)站搬家也不好搬家，因?yàn)?，生成的文件比程序大的多，一個(gè)1g的網(wǎng)站。程序只有50兆、a目錄生成的html文件有450兆、圖片上傳目錄uploads占500兆，所以，要是所有的html都生成在根目錄下你怎么做網(wǎng)站搬家。很花時(shí)間的。

以上是個(gè)人總結(jié)對(duì)于織夢(mèng)網(wǎng)站模板的一些安全防御措施，以上措施能完全防御使用機(jī)器、軟件掃描的小朋友搗亂，網(wǎng)站沒有絕對(duì)的安全、也做不到絕對(duì)的安全、甚至也沒有那么多的“黑客”來網(wǎng)站搗亂。只有做不做安全防御措施和做得到位還是不到位，網(wǎng)站的安全在于站長(zhǎng)自己、而不是網(wǎng)站程序。

偷偷告訴你哦。程序+模板=網(wǎng)站，程序是后臺(tái)，模板是前端，模板可以套用各種程序，比如帝國(guó)CMS、emlog、織夢(mèng)CMS、Discuz！動(dòng)力社區(qū)、PhpCMS、WordPress(wpCMS)、Z-Blog都是程序，任何程序都有漏洞、只有做不做網(wǎng)站安全防護(hù)的網(wǎng)站站長(zhǎng)，使用開源程序默認(rèn)的文件夾名都將是網(wǎng)站最大的漏洞，織夢(mèng)網(wǎng)站被黑不能完全都怪織夢(mèng)CMS，程序本無錯(cuò)，重點(diǎn)在于運(yùn)營(yíng)，有安全意識(shí)。