导读:织梦文章织梦文章Dedecms做为国内使用最为广泛使用人数最多的CMS之一，相信很多站长和我一样选择了它，它的优点我就不多说了。可是令很多站长头疼的是，用dedecms建的站经dede模板免费dede商城模板。

Dedecms做为国内使用最为广泛使用人数最多的CMS之一，相信很多站长和我一样选择了它，它的优点我就不多说了。可是令很多站长头疼的是，用dedecms建的站经常被人莫名其妙的挂马，造成满页黑链、广告、弹框，令人气愤；更为可怕的是，还有可能被搜索引擎惩罚，辛辛苦苦建立的站，眼睁睁的看它权重下降，收录减少，甚至被K；更为严重的则服务器成为肉机，宝贵数据丢失。其实，对于dedecms挂马，我们完全可以防范于未然。今天，笔者就自己的体会从以下几点和广大dede爱好者们谈谈怎样防止dedecms被挂马，提高Dedecms的安全。

先来看看原因吧，为什么PHP程序经常出漏洞，其实是由PHP程序本身决定的。PHP可复用性低，导致程序结构错综复杂，到处是冗余代码，这样不仅利于漏洞的产生，还影响漏洞的修复；PHP程序入门简单且普遍开源，导致很多人都可直接阅读代码，搜寻漏洞；这样便有源源不断的漏洞被发现、被修复、被发现。而当前流行的PHP系统习惯用以文件形式做为缓存，这样就需要开放文件的写入权限，这无疑成为PHP系统的软肋。目前针对PHP系统的攻击织梦模板免费下裁方式，除了已经很少出现的“注入”攻击外，大部分攻击都是通过系统的某个漏洞，向可写文件里插入一句话木马，以此方式获得shell。

网站安全从来都是服务器模板织梦配置、文件权限控制和网站程序三者的相互配合，“可执行的文件不允许被修改，可写文件不允许被访问”这是网站权限控制的根本原则，网站程序在“可写文件不允许被访问”方面可做许多工作。就拿Dedecms来说，我们可以在如下几个方面做好保护。

1、我们下载并安装了程序之后，首先就是要设置目录权限，这样即使木马突破服务器的限制，我们也让它找不到进一步破坏的地方。我们可以把data、templets、uploads设置为可读写，不可执行权限。把include、member、plus、后台管理目录 设置为可读，可执行，不可写入权限（安装了附加模块的，book、ask、company、group 目录同样如此设置）。

2、改名根目录下的data目录，或者移动到网站目录外面。data目录便是最藏污纳垢的地方，系统经常要往这个目录写数据，这个目录下的任何一个文件都可以通过URL访问到，所以要让浏览器访问不到里面的文件，就需要将此目录改名，或者移动到网站的目录外面去。这样，即使别人通过漏洞往文件里写入了一句话木马，他也找不到此木马所在的文件路径，无法继续展开攻击。因为Dedede免费校板下战decms程序的设置，所以改名data目录操作比较复杂，具体做法可以参考：如何将织梦的data目录迁移到根目录以外

关键词标签: 织梦 安全防范 如何做好