近期不少用戶被爆織夢(mèng)程序漏洞，那么黑客都是利用什么方法達(dá)到WebShell目的呢。

織夢(mèng)后臺(tái)功能強(qiáng)大，也造成了有些地方存在跨站請(qǐng)求偽造漏洞。遠(yuǎn)程攻擊者可通過(guò)提交特制的請(qǐng)求利用達(dá)到寫(xiě)入WebShell目的。

織夢(mèng)安全近些年已經(jīng)做到了足夠完美，但是很多新手用戶不懂如何管理維護(hù)網(wǎng)站，造成經(jīng)常被惡意篡改網(wǎng)頁(yè)。

網(wǎng)站被黑之后，用最近一次備份還原，如果沒(méi)有備份過(guò)，可以聯(lián)系秀站網(wǎng)客服咨詢。

然后做好安全安防設(shè)置：

1：install（安裝后刪除）、special、a、tags.php文件都可以刪除。

data/、744 可讀 可寫(xiě) 可執(zhí)行

templets/、744  可讀 可寫(xiě) 可執(zhí)行 （經(jīng)常不修改模板的用戶，建議設(shè)置不可寫(xiě)，修改試在開(kāi)啟）

Dede/（后臺(tái)文件夾）  555 可讀取 可執(zhí)行 不可寫(xiě)入 

include/  555 可讀 可執(zhí)行 不可寫(xiě)入

uploads/  644可讀寫(xiě) 可寫(xiě)入 不可執(zhí)行權(quán)限

member/、plus/  755可讀 可執(zhí)行 不可寫(xiě)入權(quán)限

參考教程：http://mengdiqiu.com.cn/dedecms_az/117.html

5：plus 簡(jiǎn)化，保留：img、diy.php、list.php、search.php、count.php、ad_js.php，其他全部刪除。

6：后臺(tái)登錄文件優(yōu)化（不用的就刪除）

  dede/file_manage_control.php 【郵件發(fā)送】

  dede/file_manage_main.php 【郵件發(fā)送】

  dede/file_manage_view.php 【郵件發(fā)送】

  dede/media_add.php 【視頻控制文件】

  dede/media_edit.php 【視頻控制文件】

  dede/media_main.php【視頻控制文件】

  dede/mytag_add.php 【自定義標(biāo)記管理】

  dede/mytag_edit.php   【自定義標(biāo)記管理】

  dede/mytag_main.php 【自定義標(biāo)記管理】

  dede/mytag_tag_guide.php 【自定義標(biāo)記管理】

  dede/mytag_tag_guide_ok.php 【自定義標(biāo)記管理】

  dede/spec_add.php、spec_edit.php【專題管理】

  dede/file_xx .php開(kāi)頭的系列文件及tpl.php【文件管理器，安全隱患很大】

  dede/soft_add.php、dede/soft_config.php、dede/soft_edit.php 【軟件下載類，存在安全隱患】

以dede/story_xxx.php開(kāi)頭的系列文件   【小說(shuō)功能】

  dede/ad_add.php、ad_edit.php、ad_main.php    【廣告添加部分】

  dede/cards_make.php、cards_manage.php、cards_type.php  【點(diǎn)卡管理功能文件】

以dede/co_xx  .php開(kāi)通的文件    【采集控制文件】

  dede/erraddsave.php    【糾錯(cuò)管理】

  dede/feedback_edit.php、dede/feedback_main.php    【評(píng)論管理】

以dede/group_xx .php開(kāi)頭的系列php文件    【圈子功能】

  dede/plus_bshare.php    【分享到管理】

以dede/shops_xx .php開(kāi)頭的系列文件    【商城系統(tǒng)】

  dede/spec_add.php、spec_edit.php    【專題管理】

以dede/templets_xx .php開(kāi)頭的系列文件    【模板管理，可以保留】

  dede/vote_add.php、vote_edit.php、vote_getcode.php    【投票模塊】