采用织梦DedeCMS搭建网站的防挂马思路

 DedeCms做为国内使用最为广泛使用人数最多的CMS之一，经常爆出漏洞，每个漏洞的爆出，影响都是一大片，轻则被人挂广告、弹框，重则服务器成为肉机，宝贵数据丢失。那么有什么办法可以提高DedeCms的安全性呢？

先来看看原因吧，为什么PHP程序经常出漏洞，其实是由PHP程序本身决定的。PHP可复用性低，导致程序结构错综复杂，到处是冗余代码，这样不仅利于漏洞的产生，还影响漏洞的修得；PHP程序入门简单且普遍开源，导致很多人都可直接阅读代码，搜寻漏洞；这样便有源源不断的漏洞被发现、被修复、被发现……。而当前流行的PHP系统习惯用以文件形式做为缓存，这样就需要开放文件的写权限，这无疑成为PHP系统的软肋。目前针对PHP系统的攻击方式，除了已经很少出现的“注入”攻击外，大部分攻击都是通过系统的某个漏洞，向可写文件里插入一句话木马，以此方式获得shell。

网站安全从来都是服务器配置、文件权限控制和网站程序三者的相互配合，今天主要看看如果对DedeCms网站程序的改进来提高安全性。“可执行的文件不允许被修改，可写文件不允许被访问”这是网站权限控制的根本原则，网站程序在“可写文件不允许被访问”方面可做许多工作。就拿DedeCMS来说，我们可以在如下几个方式做好保护。