無論你網(wǎng)站現(xiàn)在是被挾持、被串改、被掛馬、被入侵 還是 剛剛才用織夢建好的網(wǎng)站，都建議你現(xiàn)在跟著我動手給它打一針預(yù)防針。

　　使用織夢系統(tǒng)的你，是否經(jīng)常遇到網(wǎng)站被入侵的情況，如果是，那么你應(yīng)該認真看下本文！

　　織夢：為什么受傷的總是我?

　　1、漏洞的多少除了程序本身之外，和使用量也有關(guān)，織夢dedecms的市場占有率相當(dāng)高，用的人也多，肯定找漏洞的人就多了，甚至網(wǎng)上還有各種針對織夢漏洞爆破掛馬的工具，連剛出生的嬰兒都能操作的批量掛馬工具，問你怕了沒，相反有的程序都沒有幾個人用，沒有人找漏洞，暴露出來的也就少了。

　　2、織夢dedecms官方不作為，最近1，2年除了常規(guī)更新，其他更新早已停更很久很久。

　　3、由于織夢dedecms的簡單上手快，很多新手和小白前期沒了解過織夢安全這一塊，網(wǎng)站上線后連后臺目錄dede文件夾也沒改，甚至連默認的管理員賬號密碼都是默認的，別人隨意進入后臺搞亂。

　　Ps：如果你又想安全又不想放棄織夢，那就跟著我看下面的教程，動手打造一個安全的織夢網(wǎng)站吧，下面的教程只是常規(guī)的防范，足以應(yīng)付那些利用工具掃站和搗亂的小人小屁孩，更深入的安全防護將在下一個教程說織夢內(nèi)核改名和各個文件夾權(quán)限，一開始太復(fù)雜我怕整暈倒你，為了你的身心健康還是先從簡單開始吧。

　　[前言]

　　無論你網(wǎng)站現(xiàn)在是被串改、被掛馬、被入侵 還是 剛剛才用織夢建好的網(wǎng)站，都建議你現(xiàn)在跟著我動手給它打一針預(yù)防針，萬一疫苗有效呢。

　　本站所有教程一律禁止在記事本上修改，強烈建議使用 Noptepad++ 或者 Sublime Text 或者 Dreamweaver 來修改。

　　本站所有教程里的圖片都會有QQ水印，為了防止被一些小人壞人利用這些原創(chuàng)免費的教程到處騙人騙錢。

　　該教程略長，而且操作的地方多，建議你多看幾遍知道大綱和步驟后再按步驟來操作，做不來可以付費請我來代勞哦，呵~

　　第一步：備份

　　1-1、后臺-系統(tǒng)-數(shù)據(jù)庫備份/還原，數(shù)據(jù)備份。

　　1-2、打包整站下載到你電腦上來，防止被改壞了無法還原回來。打包可以利用主機面板的打包功能，快速又方便。

　　第二步：最新織夢

　　http://www.dedecms.com/products/dedecms/downloads/ [官網(wǎng)] 下載對應(yīng)編碼的最新織夢程序包

　　第三步：刪除最新織夢程序包那些沒用的又容易被掛馬入侵的程序文件

　　3-1、刪除以下文件夾和文件

　　member 會員文件夾整個刪除

　　special 專題文件夾整個刪除

　　install 安裝文件夾整個刪除

　　robots.txt 文件刪除

　　3-2、刪除 /templets/default 官方默認模板這個文件夾

　　3-3、plus 文件夾除了以下 1個文件夾 和 5個php文件，其他的文件統(tǒng)統(tǒng)刪除

　　/plus/img (這個文件夾)

　　/plus/count.php

　　/plus/diy.php

　　/plus/list.php

　　/plus/search.php

　　/plus/view.php

　　3-4、把 dede 后臺文件夾改名，改復(fù)雜一點，改成爹媽都不認識它。

　　第四步：修復(fù)剛剛下載的織夢最新程序包里已知漏洞

　　https://www.dedehtml.com/safe/

　　第五步：從第一步的整站備份文件夾里檢查 模板 和 文檔圖片文件夾 是否有掛馬和后門等可疑文件或代碼

　　這一步需要一點專業(yè)知識，如果你實在不懂，就到群里虛心請教，遇到可疑的地方截圖請教別人，慢慢見的后門和木馬代碼多了，你就離成為大神不遠了。

　　也可以借助D盾，掃描一下

　　D盾官方下載 http://www.d99net.net/

　　5-1、每一個跟模板有關(guān)的js文件都要一一打開來細心檢查，因為掛馬很多在js文件中，不然你前面和后面的工作都白做了。

　　5-2、每一個跟模板有關(guān)的css 和 images 文件夾下都要細心檢查是否有后門文件，除了圖片文件、css文件、字體文件，其他的一律刪除，刪錯了也不用擔(dān)心，有整站打包的備份在。

　　5-3、每一個模板htm文件都要細心檢查是否有掛馬代碼存在，檢查你的模板文件夾里是否有后門文件，比如php文件，asp文件，其他可疑的格式文件一律刪除，刪錯了也不用擔(dān)心，有整站打包的備份在。

　　5-4、你備份文件中的文檔圖片文件夾 uploads 文件夾，每一個文件夾都要打開，都要細心檢查是否有后門文件，除了圖片文件和你的附件，其他的一律刪除，刪錯了也不用擔(dān)心，有整站打包的備份在。

　　5-5、/data/common.inc.php 和 /data/config.cache.inc.php 一會配合打包要用到，所以也要檢查。

　　5-6、/include/extend.func.php 可能有二次開發(fā)的自定義方法在里面，所以也要檢查。

　　5-7、其他你曾經(jīng)二次開發(fā)修改過的文件。

　　第六步：把第五步處理過的以下文件和文件夾復(fù)制到你第一步處理過的官方最新程序而且刪除和修復(fù)漏洞的那個文件夾對應(yīng)的位置里

　　/data/common.inc.php

　　/data/config.cache.inc.php

　　/include/extend.func.php

　　/templets/你的模板文件夾

　　/uploads

　　其他你曾經(jīng)二次開發(fā)修改過的文件

　　還有可能你的模板關(guān)聯(lián)的css 和 js 和 images圖片，這個自己看著辦，復(fù)制進來后，打包本地整好的文件

　　第七步：清空線上網(wǎng)站所有文件，上傳本地整好的文件包

　　7-1、把主機里現(xiàn)在網(wǎng)站里的所有文件清空，不需要到mysql清除數(shù)據(jù)哦。虛擬主機的小伙伴可以借助主機面板一鍵清空，省事又干凈。

　　7-2、把剛剛整理好的最新程序打包上傳到主機里解壓出來，不需要重新安裝哦

　　7-3、登錄網(wǎng)站后臺，打開 系統(tǒng)-系統(tǒng)設(shè)置-基本參數(shù)，點擊確認一次，再去生成全站。

　　第八步：后臺-模塊-廣告管理，檢查是否有掛馬的廣告，如果不用廣告模塊記得清空所有廣告，或者用SQL命令一鍵批量刪除

　　后臺-系統(tǒng)-SQL命令行工具，執(zhí)行

　　TRUNCATE #@__myad;

　　TRUNCATE #@__myadtype;復(fù)制12

　　第九步：主機或服務(wù)器環(huán)境的重要性

　　盡量選擇linux環(huán)境的主機或者服務(wù)器

　　盡量選擇最高PHP版本

　　盡量禁止不必要的環(huán)境參數(shù)和函數(shù)

　　第十步：利用偽靜態(tài)功能禁止以下目錄運行php腳本

　　linux主機的用戶一般都是apache環(huán)境，使用 .htaccess 文件來設(shè)置，如果你網(wǎng)站根目錄已經(jīng)存在這個文件，那就復(fù)制一下代碼添加進去，沒有這個文件的小伙伴可以下載下來放進去

　　RewriteEngine on

　　#安全設(shè)置 禁止以下目錄運行指定php腳本

　　RewriteCond % !^$

　　RewriteRule a/(.*).(php)$ – [F]

　　RewriteRule data/(.*).(php)$ – [F]

　　RewriteRule templets/(.*).(php|htm)$ – [F]

　　RewriteRule uploads/(.*).(php)$ – [F]復(fù)制1234567

　　.htaccess 文件下載

　　https://pan.baidu.com/s/1E3QQw6iXg7RZhJ2AsS-KSA

　　windows主機的用戶一般都是iis7、iis8環(huán)境，使用 web.config 文件來設(shè)置，請確認你的主機已經(jīng)開啟了偽靜態(tài)而且網(wǎng)站根目錄有 web.config 文件，有這個文件的可以復(fù)制以下代碼添加到對應(yīng)的rules內(nèi)，沒有這個文件的小伙伴可以下載下來放進去

　　復(fù)制123456789101112131415161718192021222324

　　web.config 文件下載

　　https://pan.baidu.com/s/1I24VYxGPezDWgPVdxHzq9Q

　　Nginx下禁止指定目錄運行PHP腳本

　　注意:這段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效，配置完后記得重啟Nginx生效。

　　location ~* /(a|data|templets|uploads)/(.*).(php)$ {

　　return 403;

　　}復(fù)制123

　　寶塔面板的在配置文件里找到PHP引用配置

　　寶塔面板的小伙伴想要一次性給所有網(wǎng)站加這個的話，看下圖操作

　　百度云Nginx虛擬主機，開啟偽靜態(tài)后，手動添加個 bcloud_nginx_user.conf 放網(wǎng)站根目錄

　　location ~* /(a|data|templets|uploads)/(.*).(php)$ {

　　return 403;

　　}復(fù)制123

　　第十步尤其重要，如何驗證第十步是否生效呢

　　用 Noptepad++ 或者 Sublime Text 或者 Dreamweaver 新建一個php文件，名為1.php，里面隨便打幾個數(shù)字即可

　　上傳到你網(wǎng)站的 uploads 文件夾里，然后在瀏覽器上打開 http://域名/uploads/1.php

　　這樣提示表示生效了

　　如果是能正常顯示你寫的數(shù)字，那表示沒生效，有風(fēng)險，想辦法讓它生效吧。

　　好了，自己動手做一下織夢安全防護或者掛馬處理的教程到此結(jié)束，有什么地方寫的不妥你來打我啊，開玩笑的，不妥的地方還請海涵或者私聊告訴我，多謝。