DEDECMS 安全优化

首先将DEDE的安装目录修改为二级目录

比如原来的目录是 网站根目录

/

一般官方只要求修改后台的 dede 文件夹名字 防止后台文件暴露或者爆破管理后台

我们将DEDE整个安装到

/自定义文件夹

然后通过修改文件的形式将静态文件生成到根目录即可

修改源文件将首页生成到根目录 而不是安装目录

1、打开 dede/makehtml_all.php

2、第56行  修改为 homeFile = DEDEADMIN.'/../'.$row['position'];

3、也就是加了 .. /  上级路径 这样首页就会生成到根目录而非二级目录了

修改栏目路径将栏目和内容生成到根目录 而不是安装目录

1、修改所有栏目的文件保存路径为 /../game (这里以game栏目为例子)

2、默认栏目名应该为 {cmspath}/game

3、通过这样的方式  让栏目和内容生成到根目录

总结

通过自定义二级目录名的方式，不暴露DEDECMS的真实地址

让攻击者找不到PHP文件，也就无法进行SQL注入，上传漏洞等操作

从根本上杜绝攻击，不过仅适用于只生成静态页面的用户，但是可以满足大多数使用场景了