“dede”太脆弱了，早不用早解脱”，“DEDE安全吗，怎么总是被入侵挂马？ ”，“天，怎么回事，又被挂马了”经常能碰到这样的抱怨。如果织梦网站管理系统（dedeCMS），真的那么脆弱，那么容易被挂马，那为什么还那么多人选择使用它？据我所知，dede管理系统是有非常多的用户群体的。“网站没有绝对的安全，只有勤劳的站长”。你有抱怨的时间，还不如仔细检查下自己的网站是否做好了安全防范措施。

下面我将要告诉一个勤劳、智慧的站长安装完dede系统后必须要做的事情：

1、修改DEDE默认的网站后台管理地址，请一定要将/dede,目录改名，并且为复杂用户名，并记住它。众所周知，dede默认管理后台都是，“域名/dede”，黑客是最新喜欢这种不修改默认登录地址的网站了，多省事。

2、请直接删除“install”目录，留着无用，而且还有会祸害网站安全，删了吧！删除系统安装程序，这个操作时安装所有php开源程序的共性，如joomla安装完毕后，如果不删除安全目录（installation）是无法打开网站首页的，我认为DEDE官方开发团对可以借鉴这个经验。

3、Dede安装前你是否计划过，你需要dede的那些功能系统？如果你没有？那么现在就开始，将不需要的功能系统都删除，在这里我引用前文“Joomla！建站SEO优化误区(joomla建站seo建议)”中的一段话“简化你的网站模板，减少网站功能”，功能最小化安装使用dede系统（在满足自己需求前提下），是你安全使用dedecms系统的前提。所有PHP开源程序安全设置都有相通之处，要学会举一反三。你不妨可以学习本站其它开源系统的网站安全设置经验。

下面是我整理出的一些dede站点目录的位置，如果你不熟悉dedecms系统站点目录结构你可以参照设置：

/member 会员功能模块

/special专题功能

/install安装程序

/company企业功能模块

/plusguest/book 留言板

其它模块，也可以不要就删除它，上面红色标记的，我已经在无忧php空间安装并做了测试确认可以直接删除,不会影响dede正常运行，其余的文件用户可以参考官方文档操作。最好是在安装DEDE系统前有计划的，选择不安装，省掉后期的麻烦。我再次特别强调/install安装程序，强烈删除它。

4、密码一直是我很揪心的问题，我在前面写joomla开源cms系列文档中都特别多次强调过，强壮密码，一定需要一个强壮的密码才能起到保护网站安全的作用，否则就是一个灾难。如果黑客通过注入，获取到管理员密码的MD5加密代码，然后反向编译MD5代码，是不是会瞬间瓦解你的网站？所以，请设置一个强壮的密码吧，强壮到让它无法反向编译你的密码。请不要小觑了黑客通知的实力。

5、黑客同志最喜欢的目录？

黑客同志最喜欢的目录，就是dede管理员目录/dede,dedecms后台的文件管理器就在这里，这里经常被黑客同志所利用，用它来挂马，这也就是为什么在本文第一条就要强调要修改dede的网站管理地址的原因。黑客可以利用如下红色字体文件，进行上传木马。这也是黑客为什么乐此不疲的不断寻找dede后台管理地址的原因了。

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php media_edit.php

media_main.php

    请删除红色字体文件一切为了安全。六三网联（www.63wl.com）在测试挂马注入点的时候，还发现dede/sys_sql_query.php,tag.php,digg.php，diggindex.php 都是有效的网马注入点，用户可以根据网站需要删除。这些都是黑客喜欢利用、挂马的文件。其中DEDE后台的SQL命令运行器，是我们常忽视的地方，如果不常用，或根本不用，毫不犹豫删除它。

6、拿来主义，网上流传的经典防黑客注入方法（DEDE防注入两方法）

一是将每个目录添加空的index.html，防止目录被访问；

二是给做好网站301页面、403页面、404页面可以禁止访问某页或某文件。

上面的方法六三网联没有经过测试，不知是否有效，如果你正在使用或测试可行，你可以与我们交流，分享你的成功。

7、php虚拟主机的选择。我在joomla安装前的准备工作中提到，“php语言开发的系统，最好的架设平台是Linux系统”，也只有Linux才能完美发挥出php加MySQL的效率，而且，linux操作系统受到病毒影响几率要远远小于windows系统的php空间。六三网联是Linux(CentOS5.5 X64)+Apache+PHP5+MYSQL5部署，完美支持织梦网站管理系统(dedeCMS)的php虚拟主机。点击查看dede系统演示平台

8、织梦网站网站内容管理系统（dedecms）开发团体也在不断关注产品用户的体验度、产品的安全、稳定、bug、等问题，请用户及时从官方网站（www.dedecms.com）获取最新的版本，和升级补丁。让织梦系统，为我们站长编织一张美丽的网赚之路