最安全、最推荐的方法(修改后台目录名)
这是最直接、最有效的方法,黑客通常使用默认的后台目录名(如 /dede/ 或 /dedecms/)进行扫描和攻击,修改它就能让绝大多数攻击者无功而返。
(图片来源网络,侵删)
操作步骤:
-
通过FTP或文件管理器连接你的服务器。
使用FTP工具(如 FileZilla, FlashFXP)或你的虚拟主机控制面板里的文件管理器,登录到你的网站根目录。
-
找到并重命名后台目录。
(图片来源网络,侵删)- 在网站根目录下,找到名为
dede的文件夹(这是织梦默认的后台目录)。 - 将这个文件夹重命名为你自己想的名字,建议使用一个复杂且不易猜测的名称,
myadmin2025w-g-l-cxyz-admin- 注意: 不要使用
admin,manage,backend等常见词汇。
- 在网站根目录下,找到名为
-
修改配置文件(关键步骤)。
- 在网站根目录下,找到
data文件夹。 - 进入
data文件夹,找到admin文件夹,然后找到里面的config.php文件。 - 用代码编辑器(如 VS Code, Sublime Text, Notepad++)打开
config.php文件。 - 找到下面这一行代码:
$cfg_cmspath = '/'; // 网站根目录 $cfg_adminfolder = 'dede'; // 后台目录名
- 将
$cfg_adminfolder = 'dede';中的'dede'修改为你刚刚重命名的新目录名。$cfg_cmspath = '/'; // 网站根目录 $cfg_adminfolder = 'myadmin2025'; // 修改成你的新后台目录名
- 保存并关闭
config.php文件。
- 在网站根目录下,找到
-
测试访问。
- 在浏览器中访问你的新后台地址:
你的域名/你的新目录名/ http://www.yourdomain.com/myadmin2025/- 如果能正常弹出登录页面,说明修改成功。
- 在浏览器中访问你的新后台地址:
修改后台入口文件名(更隐蔽)
这个方法是在方法一的基础上,进一步修改后台的入口文件名(默认是 login.php),让后台的入口点也变得不可预测。
操作步骤:
-
完成方法一的步骤:请按照方法一,将后台目录重命名(例如改为
myadmin2025)。 -
重命名入口文件。
- 通过FTP或文件管理器,进入你刚刚重命名后的后台目录(
myadmin2025)。 - 找到
login.php文件,将其重命名为一个你自己的文件名,login_new.php或mylogin.php。
- 通过FTP或文件管理器,进入你刚刚重命名后的后台目录(
-
修改配置文件。
- 同样,打开
data/admin/config.php文件。 - 在文件中找到
cfg_login_file这一行:$cfg_login_file = 'login.php';
- 将
'login.php'修改为你刚刚设置的新文件名。$cfg_login_file = 'mylogin.php';
- 同样,打开
-
测试访问。
- 你的后台登录地址变成了:
你的域名/你的新目录名/你的新文件名.php http://www.yourdomain.com/myadmin2025/mylogin.php- 访问这个地址,如果可以正常登录,说明修改成功。
- 你的后台登录地址变成了:
通过.htaccess进行URL重写(高级方法)
这种方法不会改变实际的文件和目录结构,而是通过服务器的重写规则,将默认的访问路径指向一个不存在的路径,从而实现隐藏。
操作步骤:
-
找到或创建
.htaccess文件。- 在你的网站根目录下,查找是否存在
.htaccess文件,如果不存在,请创建一个。
- 在你的网站根目录下,查找是否存在
-
添加重写规则。
- 用代码编辑器打开
.htaccess文件,在文件末尾添加以下代码:# 织梦后台安全保护 - 隐藏默认路径 # 将所有对 /dede/ 的访问请求,重定向到404错误页面 RewriteRule ^(dede)/.*$ - [F,L]
- 代码解释:
RewriteRule:重写规则。^(dede)/.*$:匹配所有以/dede/开头的URL路径。- 表示不进行任何重写。
[F]:返回一个403 Forbidden(禁止访问)错误。[L]:表示这是最后一条规则,匹配到此规则后停止后续规则匹配。
- 用代码编辑器打开
-
测试访问。
- 在浏览器中尝试访问原来的默认地址:
你的域名/dede/ - 如果页面返回403 Forbidden错误,说明规则生效了,你的后台地址虽然没变,但已经无法被直接访问了。
- 在浏览器中尝试访问原来的默认地址:
注意:此方法依赖于服务器的 mod_rewrite 模块是否开启,绝大多数虚拟主机都支持,但如果是自己配置的服务器,请确保该模块已启用。
总结与建议
| 方法 | 优点 | 缺点 | 推荐指数 |
|---|---|---|---|
| 修改目录名 | 简单、直接、有效,是基础安全措施 | 单独使用时,入口文件名仍为默认 | ★★★★★ |
| 修改入口文件名 | 在方法一上更隐蔽,安全性更高 | 需要两步操作,比方法一稍复杂 | ★★★★★ |
| .htaccess重写 | 不改动文件结构,可随时撤销 | 依赖服务器配置,可能对SEO有轻微影响 | ★★★☆☆ |
最佳实践(最安全组合):
强烈建议你同时使用方法一和方法二。
- 将后台目录
dede重命名为一个复杂的名字,如wglc-admin。 - 在新目录
wglc-admin中,将login.php重命名为start.php。 - 修改
data/admin/config.php文件,更新$cfg_adminfolder和$cfg_login_file的值。
这样,你的后台登录地址就变成了 http://www.yourdomain.com/wglc-admin/start.php,极大地提高了安全性。
⚠️ 重要注意事项
- 备份!备份!备份! 在进行任何文件修改之前,请务必备份你的网站文件和数据库,以防操作失误导致网站无法访问。
- 记录新地址:修改成功后,请务必记下你的新后台地址,并保存在一个安全的地方。
- 通知其他管理员:如果你的网站有多个管理员,请务必通知他们新的后台登录地址。
- 其他安全措施:修改后台地址只是安全措施的第一步,为了更全面的安全,你还应该:
- 修改后台默认管理员用户名和密码(默认用户名是
admin)。 - 定期更换密码,使用复杂密码(大小写字母+数字+符号)。
- 关闭后台的“游客”访问权限。
- 及时更新织梦CMS到最新版本,修复已知的安全漏洞。
- 修改后台默认管理员用户名和密码(默认用户名是
