Dedecms的普及面還是很廣的，衆多的中小站(zhàn)長在用dede建設網站(zhàn)，它的優點突出：開源、容易、優化簡單。可(kě)它的缺點卻很緻命：安全性極差。究其原因，樹大(dà)招風，同時我們也要責問dede的開發團隊，不能拿開源當理(lǐ)由，安全性差代表了産品的質量差。筆者根據自(zì)身(shēn)的建站(zhàn)經驗對dede進行一些安全設置。

　　1、安裝完程序或對程序進行升級之後，一定要把install(安裝)或update(升級)文件(jiàn)夾删除，這樣可(kě)以減少被攻擊的範圍。除了install文件(jiàn)夾外，能删除的文件(jiàn)夾要看(kàn)具體使用情況。比如(rú)不需要會員功能可(kě)以把member文件(jiàn)夾删除，不需要專題功能可(kě)以删除special文件(jiàn)夾，需要的話可(kě)以把special文件(jiàn)夾設置爲可(kě)讀寫，不可(kě)執行。另外，在安裝的時候也可(kě)以修改dede數據名的前綴。

　　2、把data文件(jiàn)夾改名，增加挂馬的程序找到你(nǐ)後台路(lù)徑的難度。接着就(jiù)是要把默認的admin登陸名改掉，在這裏爲大(dà)家提供一個很簡單的方法，就(jiù)是直間寫入sql命令，在dede的後台管理(lǐ)的系統/SQL命令行工(gōng)具裏輸入語句：update dede_admin set userid="new userid" where id=1;這裏的new userid代表了你(nǐ)要修改的用戶名，順便可(kě)以把密碼修改的複雜些，并可(kě)以定期修改下你(nǐ)的密碼甚至是登陸名，用剛才的sql語句。

　　3、設置目錄的權限，這個很重要。筆者是按照(zhào)dede的後台裏的安全建議執行的：有條件(jiàn)的用戶把data,templets,uploads,html,special,images,install目錄設置爲不允許執行腳本，其他(tā)目錄禁止寫入，系統将更安全。注意，這裏的install删除更安全，象筆者的網站(zhàn)不需要special的，也是删除更安全。至于怎麽設置dedecms的目錄權限，官網的天涯對不同的環境有具體的設置，網址是：http://help.dedecms.com/install-use/server/2011/1109/2124.html，大(dà)家可(kě)以根據自(zì)己的環境參考一下。除了上面建議的一些目錄外，把生(shēng)成的網頁所在的文件(jiàn)夾也設置爲不允許執行腳本，這樣，整個網站(zhàn)會更安全。除了這些目錄權限的設置，data文件(jiàn)夾下的common.inc.php文件(jiàn)(Linux/Unix)設置爲644或(Windows NT)設置爲隻讀。

　　4、定期檢查dedecms有沒有更新，及時打上補丁。有兩個途徑，一個可(kě)以在後台點擊在線更新，具體見下圖：

更新很重要，一定要常檢查，補丁出來了，往往意味着一批網站(zhàn)已經被挂木馬了。

　　5、針對已挂馬的情況，網上有很多檢查和殺毒的軟件(jiàn)，大(dà)家可(kě)以上百度查找。這裏給大(dà)家介紹一種比較傻瓜式的方法：常備份網站(zhàn)。一旦發現自(zì)己的網站(zhàn)挂馬了，用文件(jiàn)比較工(gōng)具比較備份和現有網站(zhàn)有差異的文件(jiàn)，重點查看(kàn)。實在找不到木馬的話，可(kě)以進行覆蓋。

　　網上關于dede的安全設置的文章(zhāng)很多，大(dà)家可(kě)以去(qù)看(kàn)看(kàn)，根據自(zì)己的實際情況進行修改，比如(rú)把data文件(jiàn)夾移出web目錄等。不要安裝完dede就(jiù)急着做網站(zhàn)，那可(kě)是個漏洞大(dà)集合，不做必要的安全設置，想不挂馬也難。挂馬的網站(zhàn)論你(nǐ)做的再好，權重再高，又有什麽意義呢(ne)?其實筆者的建議是，對安全性要求高的個人(rén)站(zhàn)長，可(kě)以放(fàng)棄使用dedecms來建設，換用其他(tā)的系統。