一、程序一定要从织梦官网下载，其他地方下载的不能保证安全。 二、下载后的程序在正常运行后，要删除下列文件夹（根据你的需要选择删除）。 member 会员文件夹整个删除 special 专题文件夹整个删除 stall 安装文件夹整个删除 robots.txt 文件删除 删除 /t […]

一、程序一定要从织梦官网下载，其他地方下载的不能保证安全。

二、下载后的程序在正常运行后，要删除下列文件夹（根据你的需要选择删除）。

member 会员文件夹整个删除
special 专题文件夹整个删除
stall 安装文件夹整个删除
robots.txt 文件删除

删除 /templets/default 官方默认模板这个文件夹（在你自己有模板的情况下，如果没有，请勿删除）

删除PLUS文件夹除下列文件外的所有文件，保留下面几个文件。

/plus/img (文件夹)
/plus/count.php
/plus/diy.php
/plus/list.php
/plus/search.php
/plus/view.php

三、修改默认后台管理目录名称，安装时不要用默认的adm当管理员帐号及密码。

四、修复刚刚下载的织梦最新程序包里已知漏洞

打开 /clude/dialog/select_soft_post.php 搜索

$fullfilename = $cfg_basedir.$activepath."/".$filename;

在它上面加入

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
	ShowMsg("你指定的文件名被系统禁止！",'javascript:;'); exit();
}

打开 /dede/media_add.php 找到（dede是你网站管理后台目录名称）

$fullfilename = $cfg_basedir.$filename;

在它上面加入

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){
	ShowMsg("你指定的文件名被系统禁止！",'java script:;'); exit();
}

五、利用伪静态功能禁止推火网以下目录运行php脚本

apache环境

RewriteEnge on #安全设置 禁止推火网以下目录运行指定php脚本 RewriteCond % !^$ RewriteRule a/(.).(php)$ – [F] RewriteRule data/(.).(php)$ – [F] RewriteRule templets/(.).(php|htm)$ – [F] RewriteRule uploads/(.).(php)$ – [F]

iis环境

<rule name="Block data" sProcessg="true"> <match url="^data/(.).php$" /> <conditions logicalGroupg="MatchAny"> <add put="{USER_AGENT}" pattern="data" /> <add put="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /> </rule> <rule name="Block templets" sProcessg="true"> <match url="^templets/(.).php$" /> <conditions logicalGroupg="MatchAny"> <add put="{USER_AGENT}" pattern="templets" /> <add put="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /> </rule> <rule name="Block SomeRobot" sProcessg="true"> <match url="^uploads/(.).php$" /> <conditions logicalGroupg="MatchAny"> <add put="{USER_AGENT}" pattern="SomeRobot" /> <add put="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /> </rule>

Ngx环境

这段配置代码一定要放在 location ~ .php(.)$ 的前面才可以生效，配置完后记得重启Ngx生效。

location ~ /(a|data|templets|uploads)/(.).(php)$ { return 403;
}

检测设置成功的方法，新建一个随意内容的php文件放到a|data|templets|uploads任意文件夹，如果访问出现4.3错误，说明设置正常。如果显示你刚才设置的内容，刚是失败。按步骤好好检测一下看看是不是设置错误。

六、网站上有一个爆网站后台的方法就是访问/data/mysql_error_trace.c或者/data/mysqli_error_trace.c，分析里面的代码来爆网站后台。可在伪静态配置文件里加入下面代码即可,这是ngx下的配置文件，亲测有效，其他运行环境自行转换

location /data { rewrite ^/data\/(.)$ /404.html;
}

这样，访问DATA的文件全都会提示404错误。亲测有效！

同理我们还可以设置禁止访问plus|templets|uploads等目录

location /plus { rewrite ^/plus\/(\w+)\.php(.)$ /404.html;
} location /templets { rewrite ^/templets/(.)/(.).htm$ /404.html;
} location /uploads { rewrite ^/uploads\/(\w+)\.php(.)$ /404.html;
}