织梦网站总被黑，如何有效防护？

非常理解您的焦虑，织梦（DedeCMS）作为曾经非常流行的建站系统，由于其历史悠久、用户基数庞大，并且早期版本存在一些安全漏洞,因此成为了黑客攻击的重灾区。

网站被黑不是小事，轻则被挂黑链、篡改内容，重则数据丢失、服务器被用作跳板攻击其他网站，甚至被植入后门,导致反复被黑。

面对这种情况，千万不要只想着“改个密码”就完事，必须进行系统性的排查和加固，下面我为您梳理一套完整的“织梦网站被黑急救与加固指南”,请按照步骤严格执行。

第一步：紧急处理（灭火）

当您发现网站被黑时，首要目标是控制损失,防止事态扩大。

1. 立即断开连接：

   
   （图片来源网络，侵删）
   • 最重要的一步！ 立即将网站从服务器上暂时下线，您可以通过在网站根目录下创建一个 maintenance.html 或 html 文件，并配置服务器返回 503 状态码,告诉搜索引擎和访客网站正在维护。
   • 如果您有防火墙（如阿里云云盾、腾讯云云镜），立即在防火墙规则中屏蔽网站的端口（通常是80/443），只允许您自己的IP访问,方便您后续操作。

2. 全面备份：

   • 在进行任何清理操作之前，务必对当前所有文件和数据库进行完整备份，即使被黑了，备份也是您恢复的最后希望，备份包括：
     • 网站程序文件：所有文件和文件夹。
     • 数据库：完整的数据库文件（.sql 或 .bak）。

3. 寻找并清除后门：

   • 这是被黑后最核心、最困难的环节，黑客通常会在网站里留下“后门”文件,以便随时再次控制您的网站。
   • 重点排查目录：
     • /data/ 目录：织梦的核心配置和缓存目录，是后门高发地，检查里面是否有可疑的 .php 文件（除了 config.cache.inc.php 等官方文件）。
     • /include/ 目录：核心功能目录,检查是否有被修改或新增的文件。
     • /member/、 /dede/ 等用户可访问的目录：检查是否有非官方的文件。
     • /uploads/、 /special/ 等可上传目录：检查是否有可疑的Webshell文件（通常伪装成图片、文档等，但扩展名是 .php）。
   • 如何查找：
     • 人工排查：按修改时间排序，重点查看近期修改过的、可疑的文件名。
     • 使用工具：
       • D盾：一款非常流行的Windows下网站后门查杀工具,可以快速扫描可疑文件。
       • 河马Webshell查杀：同样是非常知名的在线/本地查杀工具。
       • Linux服务器：可以使用命令 find /path/to/website -name "*.php" -mtime -10 来查找10天内被修改过的PHP文件,然后逐一检查。

4. 清理恶意内容：

   • 检查数据库中的 dede_archives（文章表）、dede_homepageset（首页设置表）等表，看是否有被篡改的黑链、黑页内容。
   • 清理服务器上被篡改的首页文件（通常是 index.html）。

5. 检查服务器权限：

   • 检查网站目录的文件所有者是否正确（通常是 www-data 或 apache 等，不应是 root）。
   • 检查目录权限是否过高，织梦程序的目录权限建议：
     • 根目录：755
     • 文件：644
     • 可写目录（如 /data/, /uploads/）：755 或 775（根据服务器环境配置，确保Web服务器用户有写入权限即可，无需777）。

第二步：系统加固（重建防火墙）

清理干净后，必须从根本上解决问题,否则会再次被黑。

1. 升级到最新稳定版：

   • 这是最最最重要的一步！ 您使用的旧版本织梦几乎肯定存在已知漏洞，请立即到织梦官网下载并升级到最新的稳定版本，升级前务必备份！升级过程会覆盖旧文件,能修复大部分已知漏洞。

2. 修改所有默认密码和弱密码：

   • 后台登录密码：织梦后台、会员中心、数据库密码全部修改为复杂的、包含大小写字母、数字和符号的组合。
   • FTP/SFTP密码：修改服务器登录密码。
   • 数据库用户密码：修改数据库用户的密码,并确保这个密码没有在其他地方使用过。

3. 加固后台入口：

   • 修改后台目录名：将 /dede/ 目录重命名为一个复杂的、难以猜测的名字（如 my-admin-xyz123）。
   • 修改后台登录地址：在织梦后台核心 -> 系统设置 -> 系统基本参数中，可以修改“后台目录”和“后台登录页面”,进一步增加安全性。
   • IP访问限制：在服务器上配置Nginx或Apache的访问控制，只允许您自己的IP地址访问后台目录，在Nginx配置中添加：

     location /your-new-admin-path/ {
         allow 您的IP地址;
         deny all;
     }

4. 文件上传安全加固：

   • 严格限制上传类型：在织梦后台“系统设置”中，只允许上传 .jpg, .jpeg, .png, .gif, .zip 等安全的文件类型，绝对禁止上传 .php, .asp, .jsp 等可执行文件。
   • 修改上传目录执行权限：确保 /uploads/ 等上传目录在Web服务器下没有执行PHP脚本的权限，可以在Nginx中配置：

     location ~* ^/uploads/.*\.(php|php5)$ {
         deny all;
     }

5. 数据库安全加固：

   • 数据库前缀：安装织梦时，不要使用默认的 dede_，修改为一个随机、复杂的前缀,可以防止利用已知的表名进行SQL注入攻击。
   • 数据库用户权限：给数据库用户分配最小的必要权限，通常只需要 SELECT, INSERT, UPDATE, DELETE，不要给 ALL PRIVILEGES 或 GRANT 权限。

6. 关闭不必要的服务和功能：

   • 如果您不需要会员功能,请在后台关闭会员模块。
   • 关闭不常用的插件或模块,减少攻击面。

第三步：长期维护（建立预警机制）

安全是一个持续的过程,需要定期维护。

1. 定期检查：

   • 每周或每月使用D盾、河马等工具扫描一次网站,检查是否有新挂上的后门。
   • 定期查看网站访问日志（Nginx的 access.log），关注异常的请求路径（如大量请求 shell.php 或 cmd.php 等）。

2. 保持更新：

   关注织梦官方论坛或安全公告，一旦有新版本或安全补丁发布,立即进行更新。

3. 做好完整备份：

   制定备份计划，例如每天或每周自动备份一次网站文件和数据库，并将备份文件保存在与网站隔离的服务器或云存储上，以防万一,您需要能够快速恢复。

4. 考虑更换系统：

   • 如果您的网站非常重要，或者您已经厌倦了不断被“织梦”所困扰，强烈建议您考虑迁移到更现代、更安全的CMS系统，
     • WordPress：生态最庞大，插件和主题丰富，安全更新及时，只要做好安全配置,非常稳定。
     • Typecho：轻量、简洁、安全,适合个人博客。
     • 帝国CMS：同样是国产老牌CMS，相比织梦,其安全性和架构更新一些。

织梦网站被黑，核心原因在于老旧版本 + 弱密码 + 留有后门。

处理流程：断网 -> 备份 -> 查杀后门 -> 清理恶意内容 -> 升级程序 -> 修改密码 -> 加固配置 -> 定期维护。

这个过程需要耐心和细心，如果技术能力有限，建议寻求专业的网站安全服务商的帮助，他们可以提供更彻底的清理和加固方案，对于长期运行的网站，从织梦迁移到一个更现代的平台,是解决根本问题的最佳选择。