DEDECMS安全设置有哪些？怎么防止被攻击？

DEDECMS最安全的目录权限配置需遵循最小权限原则：普通文件644、目录755；data、uploads、templets等特殊目录设为755，但data内关键文件如common.inc.php应设为644或444，同时禁止uploads目录执行php脚本，删除install目录，从根源上防范写入和执行风险。

谈到DEDECMS的安全，这真是一个老生常谈但又不得不重视的话题。简单来说，要让你的DEDECMS网站尽可能安全，核心在于从目录权限、后台管理、数据库配置、模板使用以及系统更新这几个维度去全面加固。这不是一劳永逸的事情，更像是一场持续的攻防战，但只要做得够细致，就能把风险降到最低。

要说DEDECMS的安全设置和防攻击，这事儿得从几个层面来聊。我个人觉得，很多时候我们容易忽略一些基础但致命的环节，比如权限设置。想想看，一个网站的基石如果就没搭稳，上面盖的再漂亮也悬。

文件和目录权限是所有网站安全的第一道防线。在linux/unix环境下，一般文件设置成644，目录755是个比较稳妥的方案。但DEDECMS有些目录比较特殊，比如

data

、

uploads

、

templets

这些，它们需要写入权限，但又不能给太高，比如777这种，那基本就是敞开大门让人随便进出了。我见过不少站长，图省事直接给777，结果没多久就被挂马了，清理起来那叫一个头疼。所以，这些目录最好是给755，或者更严格的，在确保程序能正常运行的前提下，把

data

目录下的

common.inc.php

这类关键文件权限设为644甚至444。还有那个

install

目录，安装完网站就赶紧删掉，留着就是个定时炸弹。

接着是后台管理安全。这是攻击者最想突破的地方。默认的

dede

目录名，默认的admin账号，默认的弱密码，这简直就是给黑客递钥匙。我通常会把

dede

目录改个复杂点的名字，比如

admin_secret_portal_2024

之类的，越难猜越好。管理员账号也别用admin，换个生僻的，密码更是要复杂到自己都得记笔记的程度，大小写、数字、符号混着用。更进一步，可以开启后台IP绑定，限制只有特定IP才能访问后台，这招虽然有点麻烦，但安全性提升巨大。另外，定期清理不用的管理员账号，也是个好习惯。

然后是数据库安全。DEDECMS默认的表前缀是

dede_

，这个也得改，虽然不是什么高深的技术，但能增加攻击者的猜测难度。数据库用户权限也得最小化，别给它个root权限，能只读就只读，能写入特定表就写入特定表。定期备份数据库，这不光是安全，更是灾难恢复的必备。

模板安全也是个容易被忽视的点。DEDECMS的模板支持PHP标签解析，这本来是为了灵活性，但如果模板被注入恶意代码，那后果不堪设想。我的建议是，如果不是特别需要，尽量在系统设置里禁用掉

cfg_phpurl

这个选项，或者只允许特定目录的php解析。上传的模板文件也得严格审核，别随便用来源不明的模板。

最后，也是非常关键的一点：系统补丁和版本更新。DEDECMS虽然更新频率不如一些主流框架，但官方发布的安全补丁一定要及时打上。很多攻击都是利用已知的漏洞，而这些漏洞往往在补丁发布后就已经修复了。如果你的DEDECMS版本太老，那简直就是活靶子。升级到最新稳定版，虽然可能会遇到一些兼容性问题，但为了安全，这点折腾是值得的。

这些措施不是独立的，它们是相互关联、层层递进的。把这些都做好了，DEDECMS的安全性就能提升一个档次。

DEDECMS目录权限应该如何配置才能最安全？

DEDECMS的目录权限配置，说白了就是给你的网站文件和文件夹设置“门禁”。这在Linux/Unix服务器上尤为关键，因为权限设置不当，轻则网站功能异常，重则直接被黑客利用上传webshell，进而控制整个服务器。

我个人在配置DEDECMS权限时，通常会遵循一个原则：最小权限原则。这意味着，除非某个文件或目录确实需要写入权限，否则一律只给读取权限。

具体来说：

• 普通文件： 大部分html、JS、css文件，以及PHP程序文件，权限设置为

  644

  。这意味着文件所有者有读写权限，同组用户和其他用户只有读权限。

• 普通目录： 大部分文件夹，权限设置为

  755

  。这意味着目录所有者有读写执行权限（可以进入、创建、删除文件），同组用户和其他用户只有读和执行权限（可以进入和读取文件列表，但不能创建或删除）。

但DEDECMS有一些特殊的目录，需要特别对待：

• data

  目录： 这个目录存放了DEDECMS的配置信息、缓存文件、sql备份等，非常敏感。权限设置为

  755

  是必须的，但更重要的是，进入

  data

  目录后，找到像

  common.inc.php

  、

  config.cache.inc.php

  这类包含数据库连接信息和核心配置的文件，它们的权限最好能设置为

  644

  ，甚至在确保网站正常运行的前提下，尝试设置为

  444

  （只读），这样即使

  data

  目录被突破，这些关键文件也不容易被篡改。

• uploads

  目录： 用户上传的图片、附件等都存放在这里。这个目录必须有写入权限，所以设置为

  755

  。但要警惕的是，绝不能让这个目录可以执行PHP脚本。这通常需要结合Web服务器的配置，比如nginx或apache的配置中，禁止

  uploads

  目录下的PHP解析。

• templets

  目录： 存放模板文件。通常设置为

  755

  。但如果你的网站允许用户上传或修改模板，那就要格外小心了，因为恶意模板可能包含后门代码。

• a

  目录（或你自定义的静态化目录）： 如果你开启了全站静态化，这个