dedecms织梦网站安全防护设置

服务器--网站目录需要给users用户写入权限，不然网站发不了文章和修改网站权限【注意】
已经确认，iis8网站文件权限设置只需要修改users用户权限就可以
a data tlemp uplods html 可写入 取消脚本执行权限

目录权限设置：data、templets、uploads、a目录，设置可读写，不可执行的权限。
include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入（安装附加模块的 book、ask、company、group 目录同样如此设置）【重点-users权限】

1.下载最新的织梦版本dede.v5.7.sp2，安装的时候admin改掉，密码超过10位，后台登录开启验证码功能。
2.安装的时候数据库不要用root新建账户，dede_表前缀改掉，数据库名改复杂点
3.后台dede目录改掉/tp_adminx（IIS设置admin后台限制IP访问）
5.装好DEDE后及时把install文件夹删除。(必删)

4.如网站不需要使用会员，建议删除 member会员功能
7.如果网站不需要专题的，建议删除 special专题功能
7.如果网站不需要企业的，建议删除 company企业模块
7.如果网站不需要留言的，建议删除 plus\guestbook留言板

6.删掉系统版本信息 /data/admin/ver.txt

8.不建议用户把栏目目录设置在根目录， 这样进行安全设置会十分的麻烦，放在a目录下面。
9.将每个目录添加空的index.html，防止目录被访问；
10.做好网站301页面、403页面、404页面可以禁止访问某页或某文件。
11.官网出的万能安全防护代码
12.IIS设置admin后台限制IP访问

 

目录权限设置：data、templets、uploads、a目录，设置可读写，不可执行的权限。
include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入（安装附加模块的 book、ask、company、group 目录同样如此设置）

10.将data目录转移到非Web目录（设置可读写，不可执行的权限）（此步骤操作有难度）

(数据库操作) ：不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，许可权限为：
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。