一、基本設(shè)置：

 1、將dedecms的默認(rèn)前綴dede改掉

2、后臺登錄開啟驗證碼,將默認(rèn)管理員admin刪除,改成一個復(fù)雜點的賬號,密碼

3、程序安裝好后務(wù)必刪除install目錄

4、將dedecms后臺管理默認(rèn)目錄名dede改掉

5、后臺的文件管理(管理目錄下file_manage_xxx.php)，不用的可以刪掉

6、用不到的功能一概關(guān)閉,比如會員,評論等,如果沒有必要通通在后臺關(guān)閉

7、不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除

8、不需要tag功能請將根目錄下的tag.php刪除

9、客請將根目錄下的digg.php與diggindex.php刪除

10、dedecms官方發(fā)布的安全補丁,及時打上補丁

11、下載發(fā)布功能(管理目錄下soft__xxx_xxx.php),不用的話可以刪掉。

12、DedeCms官網(wǎng)出的萬能安全防護(hù)代碼：http://bbs./read.php?tid=15538

13、最安全的方式：本地發(fā)布html,然后上傳到空間。不包含任何動態(tài)內(nèi)容,理論上最安全,不過維護(hù)相對來說比較麻煩。

14、以下一些是可以刪除的目錄：

member會員功能 special專題功能  company企業(yè)模塊  plus\guestbook留言板

15、以下是可以刪除的文件:

管理目錄下的這些文件是后臺文件管理器,屬于多余功能,而且最影響安全,許多HACK都是通過它來掛馬的

file_manage_control.php ;file_manage_main.php;file_manage_view.php;media_add.php;media_edit.php;media_main.php

二、權(quán)限設(shè)置：

1、 data、templets、uploads、a或5.3的html目錄，設(shè)置可讀寫，不可執(zhí)行的權(quán)限;

2、 include、member、plus、后臺管理目錄設(shè)置為可執(zhí)行腳本，可讀，但不可寫入(安裝了附加模塊的，book、ask、company、group 目錄同樣如此設(shè)置)。

三、數(shù)據(jù)庫設(shè)置：

1、 不要對網(wǎng)站直接使用MySQL root用戶的權(quán)限，給每個網(wǎng)站設(shè)置獨立的MySQL用戶賬號，許可權(quán)限為：

SELECT, INSERT , UPDATE , DELETE, CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES

由于DEDE并沒有任何地方使用存儲過程，因此務(wù)必禁用FILE、EXECUTE 等執(zhí)行存儲過程或文件操作的權(quán)限。

四、常見惡意文件，以備自查：

plus/ac.php;plus/config_s.php ;plus/config_bak.php;plus/diy.php ;plus/ii.php ;plus/lndex.php ;data/cache/t.php ;data/cache/x.php ;data/config.php;data/cache/config_user.php ;data/config_func.php