如何做好网站安全工作

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

先按照官方的设置一下，把用不到的如会员，专题，留言板什么的都去掉。

还有就是分析一下是怎么中毒的，做好服务器安全，设置好文件夹权限。

然后把文件下载下来用工具查杀一下，再就是用一下CDN。

应该能差不多，之前有个站（流年文学网>

这两天又爆发了织梦的心漏洞，现在很多人都已经挂吗了，织梦漏洞真的是很多啊，首先是删除这个超级管理，然后他一定在你空间上传了一些文件，所以找出这些文件，就是你看着以前没有的文件，删除掉，然后给你的默认主页改成原来的，如果他在你网站模板中加的链接删掉，然后重新生成，网站安全检测经常检测，预防为主，织梦漏洞比较多，这两天不少人都被挂了。

1、下载一个织梦的压缩包，将其解压，然后将upload文件夹中的文件(注意是文件中，而不是文件夹)上传到网站的根目录中。

2、在浏览器中打开>

3、数据库的设定，织梦程序需要的是PHP和MYSQL数据库，按照图示填写相应的内容即可

4、点击“继续”，完成DedeCMS的安装，到这里为止，织梦的安装已经完成了，

5、点击“登录网站后台”，用户名和密码是刚才数据库设定的时候设置填写的。

6、登录到后台就可以进行相关的设置了。

1、首先进入织梦后台网址，输入账户密码和验证码登录后台。

2、登录成功 ，找到系统设置里面的验证安全设置选项。

3、在验证安全设置的右侧，将开启系统验证码中“后台登录”取消即可，其他不修改，点击确定即可。

4、确定修改后，会提示修改配置成功。

5、最后注销后重新登录就不需要填写验证码。

织梦后台登陆不上提示验证码不正确

1密码明明正确的，却无法登陆后台管理

解答：

此外，不管是新人，还是phper，都要注意的是：用户名和密码只能由 [a-z A-Z - _ @ ] 这些字符组成，不能是中文或其它的符号。

2验证码明明正确的，就是提示验证码不正确，而无法登陆后台。

解答：我就清空了一下cookies和IE临时文件夹，就可以，如果不行，看下面。

通过FTP进入根目录

修改/data/safe下的inc_safe_configphp

把$safe_gdopen值中的6去掉在登陆后台的时候就不会出现验证码了

比如这样：$safe_gdopen = '1,2,3,4,5,7';

如还是不行，进不了后台~ 虽然没有了验证码 但是 提示 密码错误。。怎么输入都是提示密码错误

别人都说是没有写入权限

回答识别密码不用写入权限

因此，确实是你密码错误

最新发现的可以解决DEDE模板网站后台登陆“验证码不正确”的办法

今天帮客户做的一个织梦CMS网站又出现登录DED后台，提示;验证码不正确。

找了很多解决办法都弄不好，最后用下面的方法终于弄好了。<br />

下面给出解决办法：

首先，进入data/session目录，将这个目录下的除indexhtm外的其它session文件全部删除掉。然后再把本地IE浏览器的缓存清理了干净。

最后重新进入织梦网站后台首页终于是正常的了。这是我解决织梦dedecms模板网站后台登录提示验证码不正确的最快捷解决办法。

比较常见的就是目录的权限设置问题，导致后台文件权限问题，详细要参考《DEDE织梦目录权限安全设置说明文档重要

dede57验证码不正确解决办法，提供一种我遇到的情况，/data/sessions无写入权限，给足权限即可。

[其他问题] 各种dede织梦后台登陆验证码错误或不显示解决方法汇总：

各种dede织梦后台登陆验证码错误或不显示解决方法汇总！常见的就是验证码输入明明正确但却提示不正确，或者压根不显

示。说一下碰到这种情况的几种原因：

①dede版本程序升级 *** 作不正确造成验证码提示不正确

②更好空间新的空间里phoini里gd库配置问题

③网站空间满了

④专对57版本转移data目录引起的（此种请查看：如何将dede织梦data目录正确迁移及引起的问题解决方法）

⑤程序内/data/session目录权限设置问题

⑥清除浏览器的cookies，重启浏览器；

⑦网速不行，换个时间，等网速快了再试!

⑧网站程序出错，重新上传安装；

好了，引起dede织梦后台登陆验证码错误或者不显示的原因找到了，那么现在我们来总结一下解决办法。

1、如果是57版本的转移data目录引起的。

请改一下/include/vdimgckphp这个文件 这个文件里也调用了DATA里的文件也可以改路径,把带有这个 //data 改成你现

在的路径。

2、查阅资料后得知，session没有清除，去data/session目录下，将除indexhtml以外文件全部删除就可以了。

3、如果还是不行，看session是否有写入权限，如果没有的话，给"internet来宾账户"添加写入权限，Linux的话，目录权

限设置为"777"。4、设置服务器的phpini：打开phpini 文件找到;sessionsave_path = "/tmp" 改写成sessioncookie_path = /把

extension=php_gd2dll;将他前面的分号;去掉。

5、检查你的空间是不是满了，测试的方法是你可以随便上传FTP空间里一个文件，会有提示，你可以联系空间服务商。

6、直接去掉验证码：打开 loginphp 找到：

if($validate=='' || $validate != $svali)

替换为：

if( false )

然后，在模板dede/templets/loginhtm里去掉以下验证码的具体HTML代码：

<li><span>验证码：</span>

<input name="validate" type="text" id="vdcode" style='width:50px;text-transform:uppercase;'

class="text" /> <img id="vdimgck" src="/include/vdimgckphp" alt="看不清？点击更换" align="absmiddle"

style="cursor:pointer" />

</li>

或者是：在[验证码安全设置]里，说修改后的保存实际上是修改了data\safe\inc_safe_configphp 这个文件，这是个配置

文件。

比如：$safe_gdopen = '1,2,3,5,6'; 这个就是系统哪些地方开启验证码。与[验证码安全设置]界面是一对一的关系。

所以，如果当我们管理后台想关闭验证码(如果验证码无法正确输入，不支持GB库)的时候，只需要打开data\safe

\inc_safe_configphp 将$safe_gdopen = '1,2,3,5,6'; 中的6删除即可。不必去进行繁琐的设置。

如图

7、是修改include文件夹的vdimgckphp文件修改以下段落，

//Session保存路径

$sessSavePath = dirname(__FILE__)"//data/sessions/";

修改为//$sessSavePath = dirname(__FILE__)"//data/sessions/";

修改后，时管用时不管用，改回来也是这样的情况。如果把DEDE后台路径修改默认的DEDE文件夹，就不会出现验证码错误的

情况。最后如果以上方法均不适用的话，那么你就重新安装下对应版本的程序，然后将您的css及文件，模板文件，upload文

件夹转移过来。最后还原数据库。

以上就是关于如何做好网站安全工作全部的内容，包括:如何做好网站安全工作、DedeCMS网站老是中毒怎么办、织梦后台多了一个 超级管理员，网页被篡改了！求救！等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！