在使用Dedecms CMS时，很多用户会担心其安全性问题。确实，有不少用户遭遇过网站被攻击的情况。为了帮助大家更好地保护自己的网站，以下将详细介绍如何通过一系列措施将Dedecms的安全性提升到极致。

一、安全删除篇：

Dedecms提供了丰富的功能模块，但并非所有功能都适用于每个网站。对于一般企业而言，简单的文档发布功能可能已经足够。因此，删除不必要的模块是提高安全性的第一步。

可以考虑删除的模块包括：

• member目录：会员功能，通常用不到。


• special目录：专题功能，很少有人使用。


• install目录：安装程序，安装完成后必须删除。


• tags.php文件：根目录下的标签文件。

对于plus目录，建议只保留以下文件：

• plus/ad_js.php：广告模块，如果用到广告请保留。


• plus/count.php：内容页点击统计模块，有调用点击率的请保留。


• plus/diy.php：自定义表单，用到自定义表单请保留。


• plus/list.php：列表页模块，必须保留。


• plus/view.php：内容页模块，必须保留。

后台文件中，尽量删除以下文件：

• file_manage_control.php，file_manage_main.php，file_manage_view.php


• media_add.php，media_edit.php，media_main.php

此外，将后台不用的模块尽量卸载并删除。

二、安全权限篇：

1. 将data、templets、uploads、html、images目录设置为不允许执行脚本。这可以通过空间商提供的设置工具完成，如果是独立服务器则更易于操作。

2. 如果有其他非Dedecms生成的文档目录，请尽量设置为禁止写入。

3. data下的common.inc.php文件请设置为只读模式。

4. data目录下的mysql_error_trace.inc文件记录错误信息，容易暴露后台地址，建议清空并设置为只读模式，或者将其重命名。

三、安全设置篇：

首先，后台地址、管理员用户名和密码不要使用默认值。建议将后台地址改为复杂的字符串，用户名和密码也应设置得较长，并包含特殊符号。

将data目录迁移出网站根目录，可参考官方设置，这样能进一步提升安全性。

在模板文件中避免使用 {dede:global.cfg_templets_skin/} 标签，也不要将images和css文件放在模板目录中读取，以免暴露模板路径。

如果您使用FTP，请在不使用时关闭服务，或者设置强密码以防止弱密码被破解。

许多空间商会提供phpmyadmin管理工具，请勿将其放置在网站根目录下。

数据库的用户名和密码也应设置得复杂一些，避免使用如root等常见的用户名和密码组合。

四、安全其他篇：

1. 及时关注官方发布的漏洞补丁，常规补丁不必急于应用，但紧急补丁应及时升级。升级前务必做好备份。

2. 如果您的网站托管在虚拟主机上，请确保空间商的技术过硬。同一服务器上的多个网站可能会相互影响。使用独立服务器的朋友可以在服务器上安装防护软件。

3. 避免使用加密插件，这些插件可能存在后门，增加安全风险。

4. 选择较大的空间商，并确保域名和服务器在同一平台，同时做好账户安全设置。

通过以上措施，您可以显著提升Dedecms网站的安全性。如果有遇到具体安全问题，欢迎交流探讨。