织梦安全保护防御措施

　　第一步：空间的选择很重要 首先要选择独立ip的

　　大家想一下，为什么你的网站才刚做，网站都没收录，百度都搜不到你，为什么黑客会知道你，并且攻击你，就是应该你被别人连带攻击了。所以独立ip

　　推荐大家使用阿里云、腾讯云、景安等国内知名名牌的空间。像腾讯云、阿里云的服务器都是可以免费试用的。

　　第二步：网站备份 把不需要的功能删掉（很重要）

　　注意：为了安全起见，建议先保存备份，以下是dedehtml的总结织梦网站安全设置经验，本人也是这样设置，并且没有任何问题。借鉴下

　　2-1、后台-系统-数据库备份/还原，数据备份。

　　2-2、打包整站下载到你电脑上来，防止被改坏了无法还原回来。打包可以利用主机面板的打包功能，快速又方便。

　　2-3、删除以下文件夹和文件

　　member 会员文件夹整个删除 如果需要会员的可以下载小千网站的member会员文件夹 不包含二次开发哟 做过改过的 路过

　　special 专题文件夹整个删除

　　install 安装文件夹整个删除（其实这个安装目录可以不用删除 本地的留下 服务器的删除就好 以后搬家还是需要它的）

　　robots.txt 文件删除

　　关于robots.txt 是干什么用的 有人会问 这个是允许或者不允许搜索引擎蜘蛛抓取，让搜索引擎能够收录更多页面。

　　网站的robots文件，要么没有写，要么写的很乱。如果没有写，蜘蛛就会抓取网站所有的文件，不利于优化，更不利于保护需要保护的数据，比如用户信息;写的乱，不允许许抓取的内容，却被抓取，允许抓取的内容，反而没被抓取，严重影响网站内容收录，以及对网站重要内容的保护

　　2-4、删除 /templets/default 官方默认模板这个文件夹

　　2-5、plus 文件夹除了以下 1个文件夹 和 5个php文件，其他的文件统统删除

　　/plus/img (这个文件夹)

　　/plus/count.php 文档统计留下

　　/plus/diy.php 自定义表单留下

　　/plus/list.php 栏目列表/频道动态页留下

　　/plus/search.php 搜索页留下

　　/plus/view.php 文章权限设置留下

　　2-6、把 dede 后台文件夹改名，改复杂一点。

　　2-7、把 data 文件夹改名，更换一个其它的名字。

　　第三步：清空线上网站所有文件，上传本地整好的文件包

　　3-1、把主机里现在网站里的所有文件清空，不需要到mysql清除数据哦。虚拟主机的小伙伴可以借助主机面板一键清空，省事又干净。

　　3-2、把刚刚整理好的最新程序打包上传到主机里解压出来，不需要重新安装哦

　　3-3、登录网站后台，打开 系统-系统设置-基本参数，点击确认一次，再去生成全站。

　　关于织梦搬家 温习一下

　　打开/install/

　　删除index.html 删除install_lock.txt 然后将index.php.bak改名为index.php

　　打开/data/

　　删除config.file.inc.php

　　就这几步 然后运行域名或者本地 都会自动跳转到安装界面 网站搬家也不需要运行指定的目录的

　　第四步：利用伪静态功能禁止以下目录运行php脚本 新建.htaccess 新建web.config 放在你的网站根目录

　　linux主机的用户一般都是apache环境，使用 .htaccess 文件来设置，如果你网站根目录已经存在这个文件，那就复制一下代码添加进去，没有这个文件的小伙伴可以下载下来放进去

　　用notepad++ 新建.htaccess 代码如下

　　windows主机的用户一般都是iis7、iis8环境，使用 web.config 文件来设置，请确认你的主机已经开启了伪静态而且网站根目录有 web.config 文件，有这个文件的可以复制以下代码添加到对应的rules内，没有这个文件的小伙伴可以下载下来放进去

　　用notepad++ 新建web.config 代码如下

　　第五步：尤其重要，如何验证第四步是否生效呢

　　用 Noptepad++ 或者 Sublime Text 或者 Dreamweaver 新建一个php文件，名为1.php，里面随便打几个数字即可

　　上传到你网站的 uploads 文件夹里，然后在浏览器上打开 域名/uploads/1.php

　　如果显示403这样提示表示生效了

　　如果显示正常php输出那表示没生效，有风险，想办法让它生效吧。

　　第六步：修改网站的样式都在本地修改本地测试（网站本地测试一键动静态插件是必备插件） 如果没有问题再FTP上传覆盖服务器的文件即可

　　修改以后可以使用动态测试下 然后在静态生成测试下 因为有些动态和静态的效果是不一样的呢

　　为什么要在本地呢 首先 网站后台管理 修改查看文件的介意删除 具体是哪个我也不晓得了

　　应该是那个在线文件管理插件 不要 删除

　　反正我的后台没有查看源文件更改模板的 我删了 这样别人就算拿到你的后台也是没有办法更改源码的 这样安全系数会高一点

　　第七步：网站修改好，打包好，上传到服务器，然后再从服务器下载到本地保存的办法

　　如果是本地修改打包好上传到服务的不需要把整站都打包 只需要下载/data/backupdata 这个备份文件 如果有人更改了名称 那就按自己的来

　　但是有的同学是在服务器修改的 可以明确的告诉你 兄弟 你怎么这么会玩 比我都还爱折腾 安全很重要所以在本地修改测试安全会更好一点

　　还需要下载一个/uploads/ 这个文件夹 是上传发布的图片啊 附件啊 网站所有的图片都在这里 下载下来

　　然后放到你的本地 替换一下 然后登陆后 数据库还原一下 你会发现 跟服务器上的一样一样的

　　唯一不一样的就是系统 系统参数 网站地址 改为本地 不是域名 和服务器上一样的本地网站就这样出来了

　　本地的改好上传FTP 就算被挂马 直接下载/data/common.inc.php 来覆盖本地的 然后上传 再数据库还原一下 什么马都不存在了

　　这个是最直接、最笨、最有效的办法 希望大家可以借鉴的学习一下

　　使用这个方法可以避免很多很多不必要的麻烦

　　这里给大家写了如何从服务器备份到本地的教程，以及顶级栏目出错和图片路径出错的解决办法

本站资源均来自互联网或会员发布，如果不小心侵犯了您的权益请与我们联系。我们将立即删除！谢谢！