dedeCMS后台管理系统基础安全优化

　　针对许多 中小型企业做网络推广，构建管理型网址的情况下，许多 都是会采用dedeCMS这一简易、好用、具备开源系统性的PHP智能管理系统。而针对许多 应用dedeCMS系统软件的SEOer而言，大家是不是也是有常常被镜像劫持的烦恼呢?在这个百度搜索优化算法飞速发展的网络时代，网址被镜像劫持必然针对搜索引擎优化实际效果具有一定的危害。如何简易的实际操作使我们的网址更安全性呢?成都市小六互联网推广企业的小伙子为诸位应用dedeCMS系统软件建立网站的SEO领域的同仁们共享了该系统软件的一些基本安全策略。搞好这种，你的网址安全性能将升高一个阶梯。

　　1、改动数据库查询的表作为前缀

　　安裝的情况下数据库查询的表作为前缀，最好是改一下，无需dedecms默认设置的作为前缀dede_，能够改为ljs_，随意一个名字就可以。

　　2、改动admin账户

　　后台登录打开短信验证码作用，将默认设置管理人员admin删掉，改为一个自身专用型的，繁杂点的账户。

　　3、删掉多余的文件目录

　　安裝好织梦cms后，必须马上删掉install文件目录，假如不用应用vip会员、专题讲座(99%的客户都用不上)，能够立即删掉member、special文件目录。

　　能够删掉的一些文件目录：membervip会员作用;special专题讲座作用;company公司控制模块;plus\guestbook留言板留言。

　　4、删掉多余的文档

　　应用dedeCMS织梦仿站后，管理方法文件目录下的许多 后台管理文档全是归属于不必要作用，大家用不上而且对网址的安全性有非常大的危害，删掉她们既可以为大家节省室内空间也可以具有网址安全防范的功效。

　　media_edit.php

　　media_main.php

　　media_add.php

　　file_manage_main.php

　　file_manage_control.php

　　file_manage_view.php

　　不用顶客请将根目录下的digg.php与diggindex.php删掉。

　　不用SQL指令运作器的将dede/sys_sql_query.php 文件删除。

　　不用tag作用请将根目录下的tag.php删掉。

　　plus文档提议只保存以下文档：ad_js.php，count.php，list.php，search.php，view.php，其他的删掉。

　　plus文件夹名称中的文档作用以下表，假如没用到能够删掉。

　　此外，免费下载公布作用(管理方法文件目录下soft__xxx_xxx.php)，无需得话能够删除，这一也较为非常容易提交木马病毒文档。

　　5、后台管理新创建新的超级管理员，删掉默认设置的admin客户

　　(1)、新创建超级管理员

　　点一下系统软件->系统软件用户管理系统->提升管理人员，填好登陆帐户及登陆密码等信息内容，用户群挑选‘超级用户’。

　　(2)、删掉默认设置的admin客户

　　点一下系统软件->SQL命令行工具，运作SQL指令：delete from dede_admin where id = 1;

　　6、改动默认设置后台管理文件名

　　默认设置的后台管理根据网站域名/dede浏览，请改动为别的名字，越不易被猜到越好，能够使用英语 数据等方式。

　　将dedecms管理后台默认设置目标目录dede改正，改动方法为立即重新命名dede文件夹名称的名字就可以。

　　7、关掉不必要的作用

　　用不上的作用一概关掉，例如vip会员、评价等，要是没有必需全都在后台管理关掉。

　　8、转移data文件目录到web文件目录外

　　data文件目录存有情况严重的安全风险，很必须将data文件目录挪动到网站文件目录之外(实际转移方法能够查询马海祥blog《安全正确转移网站data目录文件的具体方法步骤》的有关详细介绍)。

　　确实沒有标准转移到外站的同学们，也请一定要将data文件目录改一个姓名。

　　9、DedeCms官方网站出的全能安全防范编码

　　为了更好地让大伙儿的CMS更安全性，有必须的手工制作在config_base.php里再加上

　　开启config_base.php，寻找：

　　//严禁客户递交一些独特自变量

　　$ckvs = Array('_GET','_POST','_COOKIE','_FILES');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　改成下边编码：

　　//把get、post、cookie里的<? 换成 <?

　　$ckvs = Array('_GET','_POST','_COOKIE');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(!empty($value)){

　　${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);

　　${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);

　　}

　　if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　//检验提交的文档中是不是有PHP编码，有立即撤出解决

　　if (is_array($_FILES)) {

　　foreach($_FILES AS $name => $value){

　　${$name} = $value['tmp_name'];

　　$fp = @fopen(${$name},'r');

　　$fstr = @fread($fp,filesize(${$name}));

　　@fclose($fp);

　　if($fstr!='' && ereg("<\?",$fstr)){

　　echo "你提交的文档中带有风险內容，程序流程停止解决!";

　　exit();

　　}

　　}

　　}

　　此外，就必须大伙儿多关心dedecms官方发布的安全更新，立即打上安全更新。

　　也听见过许多 做SEO的盆友埋怨说过dedeCMS安全性能太低，自身累死累活做的网址关键字排名实际效果在网站被黑以后付诸东流。可是明心见性想一想，每一个系统软件都是会有其不健全的地区，阿里巴巴网那麼强劲的企业整体实力的网址都能网站被黑掉，而最后反而是让这一电子商务行业的大佬寻得认为超级天才级职工。这也体现出，我们在自己建网站做提升时，必需的安全防范是有必须且必须去做的，可是并不可以真实的保证肯定安全性，对技术性和对事情都存在心存敬畏才算是恰当的作法。搞好上边的dedeCMS基本安全性提升并还记得常常备份数据网址数据信息，将风险性减少就OK了!