最近频繁遇到一些使用dedecms作为内核来使用的站点被挂马，含php-ddos在内的各类木马，在这里和朋友们分享下如何加强dedecms的系统安全。

在这里主要讲从dedecms系统本身做好安全防护！服务器自身的安全设置就不再说了。

1：更改管理后台路径。

2：删除根目录下member,plus,special等所有现有网站用不到的目录或者文件。

3：将所有静态文件统一放置到默认的A或者一个新建的目录下面，如：htm, 禁止根目录下面的A等静态文件存放目录、data、images、template、uploads等上传文件类目录的脚本执行权限。

4：整个根目录只给与读取权限，根目录下面的文件或目录单独设置权限，虽然比较麻烦但是很安全。

除以下目录和文件外，其他任何目录和文件均不给于写入修改权限，。

根目录下面的A等静态文件存放目录、data、uploads等上传文件类目录，index.htm(首页静态文件，如果您选择生成静态的话）

5：将data目录下面的common.inc.php只给与读取权限。

7：及时更新官方的安全补丁。

8：建议安装彩影antiarp，经常观察是否有异常流量或者TCP SYN或UDP等攻击，这个软件本身是作为arp防护的，巧的是在安全方面也起到了很好的检测作用！一旦发生对外TCP SYN攻击，可以迅速发现掌握问题所在的应用池，为排查提供方便。

9：经常检查dedecms下面的文件或者目录，是否被更改或存在异常文件，及时清理！

总之，要经常检查做好网站数据备份，防范于未然！如果您的服务器安全设置也做得很好，相信不会有什么大问题了！