dedecms的漏洞主要集中在data、include、plus、dede、member幾個文件夾中的php文件里，對于data這個文件夾我們可以把它移到網(wǎng)站的根目錄外，dede可以沖命名，member可以刪掉，一般用不著，special專題功能 install安裝程序(必刪) company企業(yè)模塊 plusguestbook留言板 以及其他模塊一般用不上的都可以不安裝或刪除。這些個文件夾的修改網(wǎng)上比較多教程，大家搜索一下都會找得到的。include和plus文件的重命名方法網(wǎng)上比較少，所以本文主要說一下這兩個文件夾的修改。

壹 先我們先安裝好dedecms，然后把根目錄下的擁有 文件夾和文件用ftp軟件下載到本地，同時把數(shù)據(jù)庫導(dǎo)出下載到本地，網(wǎng)站程序我們需要dw軟件來進(jìn)行批量替換，數(shù)據(jù)庫文件我們需要editplus軟件來替換（sql的文件用editplus比dw快）。

、plus文件夾的重命名修改

用editplus打開數(shù)據(jù)庫文件，ctrl+h打開替換窗口，把數(shù)據(jù)庫里的擁有 “plus”替換成你想要的名稱，這里我們隨便命個名，比如“aplu”。記得ctrl+s保存。



然后我們打開dw軟件新建一個本地站點(diǎn)，如下圖。我這里舉例用的是“mydedecms”，把擁有 的網(wǎng)站文件都放到mydedecms下。然后隨便打開站點(diǎn)下的一個文件，比如打開index.php。ctrl+f打開dw的替換窗口，查找范圍我們選擇整個當(dāng)前本地站點(diǎn)，搜索選擇源代碼。查找就寫plus，替換就寫“aplu”，和剛才修改數(shù)據(jù)庫文件的一致。點(diǎn)擊大部 替換直接把網(wǎng)站文件里擁有 的plus替換成aplu。





還有一步就是重命名擁有 帶有plus的文件和文件夾，這個打開文件夾，搜索一下就出來，然后對這些帶有plus的文件夾和文價重命名，把plus改成aplu。



這樣plus的修改大部 完成。

第二、include文件夾的重命名修改

和剛才修改plus差不多，不過不完全一樣，數(shù)據(jù)庫文件的修改是一樣的，把數(shù)據(jù)庫文件中擁有 的include替換成你想要的名字，比如ainclu。

網(wǎng)站程序文件include的修改和plus有點(diǎn)不一樣，大家注意這點(diǎn)。我們是不能把擁有 文件里的include都替換成ainclu的，我的是把“include/”替換成“ainclu/”，然后再把“/include”替換成“/ainclu”，進(jìn)行兩次整站的替換，目前還沒發(fā)現(xiàn)有什么錯誤，因?yàn)閕nclude是php的語言，有很多地方的“include”我們是不能換的。

下來就是include文件夾的重命名，我只搜到了兩個include文件夾，一個在根目錄下，一個在data里面，重名一下都修改為“ainclu”即可。

至此，我們就完成了plus和include的重命名修改。把修改好后的網(wǎng)站擁有 的文件重新上傳到網(wǎng)站的根目錄下，重新導(dǎo)入修改過的數(shù)據(jù)庫文件就好了，這樣多數(shù)小黑軟件就掃描不到我們網(wǎng)站的漏洞了，網(wǎng)站的安全性得到了進(jìn)一步的提高。這種方法對于其他的開源程序也是有效的，不過我們壹 先要熟悉editplus和Dreamweaver 軟件的使用，以及制定要了解開源程序那些是可以大部 批量替換的。

其他網(wǎng)上找到的方法：

DEDE管理目錄下的 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 這些文件是后臺文件管理器(這倆個功能Z多余，也Z影響安全，許多HACK都是通過它來掛馬的。它簡直就是小型掛馬器，上傳編輯木馬忒方便了。一般用不上統(tǒng)統(tǒng)刪除) 。

不需要SQL命令運(yùn)行器的將dede/sys_sql_query.php 文件刪除。避免HACK利用。

不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除