Dedecms安全设置指南

[topvip]

DEDECMS 这名词细想起来，我还是有一份特殊的感情的，当初做网站的时候，最早用的动易CMS2006，后来转PHP后，一直用的DEDECMS，只是现今不在用了而已，可以说，它造就了很多中小站长，是中小站长的福音。

下面就DEDECMS的安全设置，简单记录下。
1、尽量使用纯PHP的主机空间，如果非要使用WINDOWS，最好关闭非所有PHP支持；
2、更改默认的 www.0058.net/dede/类管理地址；
3、给默认的admin管理帐号分配没有权限的用户组；
4、data/common.inc.php文件属性（Linux/Unix）设置为644或（Windows NT）设置为只读；
5、Linux主机针对uploads、data、templets 三个目录做执行php脚本限制；WINDOWS取消这三个目录的脚本运行权限；
6、及时关注官方补丁并及时打上补丁；
7、非必要，请关闭会员系统并删除member文件夹，实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制；

下面介绍下如何针对uploads、data、templets做PHP脚本限制：
对uploads、data、templets 三个目录做执行php脚本限制，就算被上传了木马文件到这些文件夹，也是无法运行的所以这一步很重要一定要设置。
在配置前需要确认你的空间是否支持.htaccess和rewrite，该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。

Apache环境规则内容如下：Apache执行php脚本限制 把这些规则添加到.htaccess文件中

RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ –[F]

nginx环境规则内容如下：
location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
deny all;
}

DEDE官方针对安全也专门发表了一篇文章，大家可以去搜搜看看；