Nginx系统中织梦Dedecms的安全设置

首先需要说明的是，任何程序都是有漏洞的，我们需要做好一些必要的防范，来减少由于程序漏洞造成的损失。织梦的漏洞多，这个是很多人的想法。不过大家如果做好了织梦系统的文件夹权限什么的设置，很多漏洞也是用不上的。

这些安全措施，织梦官方已经给出过很多教程了，如织梦后台中uploads等文件夹执行php文件权限的问题。今天主要说的就是Nginx下取消织梦uploads文件夹权限的问题。如果是在Apache中，可以在.htaccess中通过如下的代码解决：

在Nginx中，则可以编辑nginx的虚拟主机配置，在fastcgi的location语句的前面添加如下代码：

这段代码就取消了以上文件夹执行php和htm文件的权限，为什么要取消htm文件的执行权限呢?这个是用来对织梦模板进行防盗处理的，不然在别人知道模板目录的情况下，可以直接下载织梦模板，关于织梦模板防盗的问题，可以参考No牛网织梦DedeCMS模板防盗的四种方法一文。

以上的安全设置只是织梦安全设置里面很小的一环，还有文件夹的权限问题，也是需要很好的去应对的。当然，无论安全做的多么好，经常备份都是必须的。

Dedecms5.7SP1安全设置防挂马教程

一、精简程序功能，删除不使用的目录

不需要的功能统统删除。比如不需要会员就将member文件夹删除;删除多余组件比如投票、找错等的插件是避免被hack注射的最佳办法。将每个目录添加空的index.html，防止目录被访问。

织梦可删除目录列表：member会员功能，special专题功能，install安装程序(必删)，company企业模块，plusguestbook留言板，以及其他模块一般用不上的都可以不安装或删除。

另外，如果不是必要用到会员功能，最好在后台的系统设置里面把会员功能关闭，这样防止别人对网站进行SQL注册;友情链接申请的也可以删除，总之就是减少别人往网站提交信息的可能。

二、设置复杂的管理员密码

管理员密码一定要长，而且字母与数字混合，尽量不要用admin，初次安装完成后将admin删除，新建个管理员名字不要太简单。织梦系统数据库存储的密码是MD5的，一般HACK就算通过注入拿到了MD5的密码，如果你的密码够严谨，对方也逆转不过来。

后台最好可以开启登陆验证码，虽然自己麻烦一点，也可以防止在知道后台路径的情况下，对网站进行穷举攻击。

三、删除dede后台不必的功能文件

DEDE后台管理目录下的以下文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。不需要tag功能请将根目录下的tag.php删除。不需要顶一下、踩一下功能的请将plus目录下的digg_ajax.php和digg_frame.php删除!

另外就是文件夹权限不要设置777，data文件夹下的common.inc.php文件设置644属性等，修改管理后台的目录等;这些都是织梦默认就会提示你做的安全设置，可以按照织梦的相关教程进行设置