为什么需要设置安全文件夹?
织梦CMS的默认后台目录是 /dede/,这个目录名是公开的,是黑客攻击的首要目标,一旦你的后台密码被破解或存在漏洞,黑客就可以轻松控制你的网站,进行挂马、篡改数据、发送垃圾邮件等恶意操作。
将后台目录进行“隐藏”和“重命名”是织梦网站安全加固的第一道,也是最重要的一道防线。
如何设置安全文件夹(核心步骤)
以下是修改织梦后台目录名称和路径的详细步骤:
第1步:重命名后台文件夹
这是最直接的一步。
- 通过FTP或文件管理器登录你的网站服务器。
- 找到织梦程序的安装根目录。
- 找到名为
dede的文件夹。 - 将其重命名为一个你自定义的、复杂的、不易猜测的名称。
- 推荐命名:使用一长串无规律的字母、数字和符号的组合。
my-admin-xyz2025、backend-panel-a7b8c9。 - 禁止命名:不要使用
admin,manage,cms,user等常见词汇。
- 推荐命名:使用一长串无规律的字母、数字和符号的组合。
示例:将
/wwwroot/你的网站/dede/重命名为/wwwroot/你的网站/my-secure-admin/。(图片来源网络,侵删)
第2步:修改后台配置文件 config.php
织梦的后台程序需要知道新的文件夹路径,这个信息存储在 config.php 文件中。
-
用代码编辑器(如 VS Code, Sublime Text, Notepad++)打开你刚刚重命名后的新文件夹里的
config.php文件。- 路径示例:
/wwwroot/你的网站/my-secure-admin/config.php
- 路径示例:
-
找到下面这一行代码:
$cfg_cmspath = '/你的网站路径'; // 网站在服务器上的绝对路径
-
修改
$cfg_adminpath的值,将其指向你的新后台目录。
(图片来源网络,侵删)// 原来的代码可能是这样 // $cfg_adminpath = $cfg_cmspath.'/dede'; // 修改为你的新路径 $cfg_adminpath = $cfg_cmspath.'/my-secure-admin'; // 将 'my-secure-admin' 替换为你自己的新文件夹名
-
保存并关闭
config.php文件。
第3步:修改全局入口文件 index.php
为了防止用户通过旧路径 /dede/ 访问,我们需要在根目录的 index.php 中做一层拦截。
- 打开网站根目录下的
index.php文件。 - 在
<?php标签后,添加以下代码:// 安全跳转:禁止直接访问旧的后台目录 if(stristr($_SERVER['PHP_SELF'], 'dede')) { header('HTTP/1.1 404 Not Found'); exit('Access Denied'); }说明:这段代码会检查当前请求的URL是否包含 'dede',如果包含,则直接返回404错误并中断执行,彻底封死旧路径的访问。
第4步:修改数据库中的后台路径(可选但推荐)
织梦的数据库中也可能存储了后台路径的信息,为了确保万无一失,最好也修改一下。
- 登录你的网站数据库(可以使用 phpMyAdmin 或其他数据库管理工具)。
- 找到织梦的数据库(通常是
dede或你自定义的数据库名)。 - 找到
#@__admin表(如果前缀不是#@__,请替换成你的实际前缀,如dede_admin)。 - 查看该表的结构,通常有一个字段叫
userid或uname,存储的是管理员用户名,这个表本身不存路径,但为了彻底清理,我们检查一下其他表。 - 更关键的是检查
#@__sysconfig表,这个表存储了系统的配置信息,用SQL查询搜索一下内容里是否包含 'dede'。SELECT * FROM `#@__sysconfig` WHERE `value` LIKE '%dede%';
如果查询到结果,需要根据具体情况修改
value字段中的路径。
注意:这一步操作有风险,如果你不熟悉SQL,可以暂时跳过,因为前面几步已经能起到很好的保护作用。
织梦网站安全加固的其他重要措施
仅仅重命名后台是不够的,一个真正安全的网站需要多层防护。
修改后台默认登录地址
这是与重命名文件夹相辅相成的一步。
- 在你重命名后的新文件夹里,找到
login.php文件。 - 用代码编辑器打开它。
- 找到下面这行代码:
$gourl = empty($gourl) ? 'index.php' : $gourl;
- 在它后面添加一行,将默认登录页修改为另一个你自定义的文件名,
login2.php。$gourl = empty($gourl) ? 'index.php' : $gourl; // 新增:将默认登录页改为 login2.php $loginfile = 'login2.php';
- 将原来的
login.php复制一份,命名为login2.php。 - 将原来的
login.php删除或重命名为一个无意义的名字(如login.php.bak)。
你必须访问 你的网站/my-secure-admin/login2.php 才能打开登录页面,多了一层隐蔽性。
设置网站文件夹权限
正确的文件和目录权限是防止网站被篡改的关键。
- 网站根目录:设置为
755 - 所有文件夹:设置为
755 - 所有PHP文件:设置为
644 - 所有数据文件(如
data目录下的文件):设置为644或600(更安全) - 上传目录(如
uploads):设置为755,但其内部的文件和文件夹权限应为644和755。
如何设置:可以通过FTP客户端的“文件权限”功能或服务器的命令行(
chmod)来设置。
安装安全狗或DedeCMS安全补丁
- 安全狗:为织梦开发的安全插件,可以实时拦截恶意请求、扫描后门、保护核心文件,强烈推荐安装。
- 官方补丁:定期关注织梦官网,及时下载并安装最新的安全补丁,修复已知漏洞。
定期备份
这是最后的底线,一旦网站被入侵,一个最新的备份可以让你快速恢复,将损失降到最低。
- 全站备份:定期备份网站所有文件和数据库。
- 异地备份:不要把备份文件放在网站空间里,最好下载到本地电脑或存储到云盘、OSS等异地服务器。
使用强密码和双因素认证(2FA)
- 后台密码:设置一个包含大小写字母、数字和符号的复杂密码,长度至少12位。
- 数据库密码:同样要复杂。
- FTP/SFTP密码:保持高强度。
- 双因素认证:如果你的织梦版本或安全插件支持,务必开启2FA,登录时除了密码,还需要手机验证码或动态口令,安全性大大提升。
| 安全措施 | 作用 | 实施难度 | 重要性 |
|---|---|---|---|
| 重命名后台文件夹 | 隐藏后台入口,防止被暴力破解 | 低 | ⭐⭐⭐⭐⭐ |
| 修改后台登录文件 | 增加后台登录路径的隐蔽性 | 中 | ⭐⭐⭐⭐ |
修改config.php和index.php |
确保路径正确并封死旧入口 | 中 | ⭐⭐⭐⭐ |
| 设置文件权限 | 防止文件被非法修改和执行 | 中 | ⭐⭐⭐⭐ |
| 安装安全插件/补丁 | 修复漏洞,实时防御攻击 | 低 | ⭐⭐⭐⭐ |
| 定期备份 | 事故后快速恢复的保障 | 低 | ⭐⭐⭐⭐⭐ |
| 使用强密码和2FA | 保护登录入口的最后防线 | 低 | ⭐⭐⭐⭐⭐ |
请务必按照以上步骤,对你的织梦网站进行全面的安全加固,安全是一个持续的过程,需要定期检查和维护。
