近期织梦DEDECMS被注入漏洞,如何做好防护措施

众多使用织梦DEDECMS的网站系统，被植入php木马，调用fsockopen函数，循环发送数据包，危害极大！

请正在使用织梦DEDECMS的用户，尽快采取以下措施：

1. 新新到新新版本，安装新新补丁
补丁包一般都会包含漏洞的修补，所以请大家及时安装。新新的安装包，补丁包可从这里下载：
http://www.dedecms.com/products/dedecms/downloads/

2.目录权限
在默认的情况下，安装完成后，目录设置如下：
(1)用于存储html等静态文件的文件夹，一律不给执行权限：如templets、uploads、a、images，以及分栏，分类的html目录， 设置可读写，不可执行的权限(参考设置该目录为不可执行权限)；

(2)删除不需要的文件夹：不需要专题的，建议删除 special 目录， 需要专题的话可以在生成HTML后，删除 special/index.php 这个文件然后把special这个目录设置为可读写，不可执行的权限(设置该目录为不可执行权限)；不需要会员功能的，可以直接删除member文件夹；同时一定要记得删除install这个文件夹。

(3)代码目录只给可读权限： include、member、plus、后台管理目录 设置为可执行脚本，可读，但不可写入（安装了附加模块的，book、ask、company、group 目录同样如此设置）。这个设置尤其重要，因为大部分木马文件都是上传到这些目录！

(4)data目录给只读权限，但其子目录sessions，cache，tplcache给读写权限，以免影响到网站运行

以上4点是做好织梦网站安全的基本保障，站长们可以试一下。

 

再次强调：如何取消目录的执行权限（就是不让执行动态脚本），可参以下链接


3. 要有安全意识
(1) 定期更改会员中心，网站控制台，ftp，网站管理员及数据库的登录密码
(2) 定期查看文件夹，文件的后面修改时间，如果不是你自己改动的，那很可能是被注入了木马

---