dedecms織夢的漏洞主要集中在data、include、plus、dede、member幾個(gè)文件夾中的php文件里，應(yīng)該都知道，把這些文件架下面的文件進(jìn)行刪除，用不到的就暫時(shí)刪除先，以減少攻擊幾率。注意刪除php后還要?jiǎng)h除想要的htm模板。

還有就是文件權(quán)限安全因素，可以把這些文件夾設(shè)置為不需要寫入的設(shè)置為只讀、但不可寫入，有執(zhí)行權(quán)限就行了。能寫入的設(shè)置為可寫入，但不可以執(zhí)行權(quán)限

比如：將data、templets、uploads、a或html目錄， 設(shè)置可讀寫，不可執(zhí)行的權(quán)限，include、member、plus、后臺(tái)管理目錄 設(shè)置為可執(zhí)行腳本，可讀，但不可寫入（安裝了附加模塊的，book、ask、company、group 目錄同樣如此設(shè)置）。

plus文件的重命名方法網(wǎng)上比較少，這個(gè)也比較簡單，因?yàn)檫@個(gè)文件夾是獨(dú)立的，所以本文主要說一下這個(gè)文件夾的修改。

首先做好整站備份，后臺(tái)數(shù)據(jù)庫備份，然后打包整站備份好，就算修改include更名失敗只要?jiǎng)h除就好

網(wǎng)站備份操作如下：

1、比如網(wǎng)站放在11181文件夾里面，先登錄后臺(tái)數(shù)據(jù)庫備份，備份完成后，復(fù)制11181文件夾，然后在粘貼，這樣會(huì)有一個(gè)11181 - 副本文件夾

2、如果改名include失敗，后臺(tái)不能登錄，或者出現(xiàn)意外直接刪除11181文件夾，改名11181 - 副本為11181

3、按照下面步驟重復(fù)改名include幾次，你會(huì)成功的。備份做好，以防萬一。

首先、plus文件夾的重命名修改，把plus替換成你想要的名字，比如nide

第一、include目錄

打開\include\common.inc.php 找到

改為

1、打開include/arc.caicai.class.php 找到

改為

2、打開include/arc.rssview.class.php 找到

改為

3、打開includedialog文件下面的所有php文件

查找/plus/ 

替換成/nide/

有好幾個(gè)地方

4、支付寶接口文件includepayment文件下面的所有php文件

查找/plus/ 

替換成/nide/

有2個(gè)地方

5、打開include aglibinfolink.lib.php

查找plus 找到

改成

第二、plus目錄，改名后的nide目錄

打開nide目錄下所有的php文件

查找plus/ 

改成nide/

但是需要注意的是

這段代碼include_once(DEDETEMPLATE.'/plus/

這個(gè)的目錄位置是templets/plus 

所以，這個(gè)不要換，后面templets/plus的plus目錄可以和nide不一樣

又可以改名為nide123等等名稱

第三、templets目錄

default目錄

plus目錄

system目錄

好幾個(gè)地方都有，

查找plus/ 

改成nide/

但是需要注意的是

這段代碼include_once(DEDETEMPLATE.'/plus/

這個(gè)的目錄位置是templets/plus 

所以，這個(gè)不要換，后面templets/plus的plus目錄可以和nide不一樣

最后一個(gè)位置，dede目錄

1、打開dede目錄下所有的php

查找plus

有幾個(gè)地方需要修改

注意$tmpfile = $cfg_basedir.$cfg_templets_dir."/plus/sitemap.htm";

這個(gè)的目錄位置是templets/plus 

2、然后打開dede emplets目錄下的所有htm

查找plus

有好多地方需要修改

會(huì)員目錄member

1、打開feedback.php

改為

2、打開shops_orders.php

改為

3、打開member emplets文件夾下所有的htm

查找plus/

改為nide/

這樣就算把plus改完成了

其實(shí)這個(gè)plus目錄是插件的目錄，比如上傳插件，安裝以后都會(huì)在這個(gè)文件夾里面，所以這個(gè)目錄是獨(dú)立的存在，可以把插件放到其他的目錄。

不要plus也可以，把plus改成nide以后，這個(gè)目錄想要不被暴露，那就改改調(diào)用標(biāo)簽

檢查調(diào)用標(biāo)簽是否出賣了名稱

如果不注意調(diào)用標(biāo)簽，調(diào)用標(biāo)簽出賣了目錄名稱，只能說你改名也是徒勞的

{dede:global.cfg_cmspath/}模板安裝目錄

{dede:global.cfg_memberurl/}這個(gè)是會(huì)員

{dede:global.cfg_cmsurl/}暴露當(dāng)前目錄，一般多數(shù)會(huì)暴露plus，其他的也有

{dede:global.cfg_templets_skin/}暴露網(wǎng)站模板default目錄

把這標(biāo)簽統(tǒng)統(tǒng)換掉，替換成以下標(biāo)簽

注意加一根斜線{dede:global.cfg_cmsurl/}/是根目錄

{dede:global.cfg_cmsurl/} 鏈接形式是http://www.nide123.cn

{dede:global.cfg_cmsurl/}/ 鏈接形式是http://www.nide123.cn/

如果是arclist里面加上絕對路徑，調(diào)用標(biāo)簽是

[field:global.cfg_basehost/]

還有一個(gè)就是織夢網(wǎng)站有個(gè)調(diào)用js的標(biāo)簽，只要是網(wǎng)站標(biāo)簽調(diào)用，路徑出現(xiàn)目錄的都需要改調(diào)用標(biāo)簽。

修改plus目錄重命名教程完，DEDE有很多漏洞都是出自plus文件夾下的文件，網(wǎng)上有很多掛馬工具都有自動(dòng)掃描網(wǎng)站PLUS目錄功能用來匹配漏洞文件，因此為了避免被漏洞入侵，我們可以重命名PLUS文件夾，并將里面無用的文件都清理干凈，防漏洞防掛馬，提高網(wǎng)站安全性。