公司网站是织梦模板建的，怎样防止被挂马？

在配置前需要确认你的空间是否支持htaccess和rewrite，该方法基于htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。

RewriteEngine on RewriteCond % !^$

RewriteRule uploads/()(php)$ – [F]

RewriteRule data/()(php)$ – [F]

RewriteRule templets/()(php)$ – [F]

针对uploads，data，templets 三个目录做了执行php脚本限制；

将如上内容存储至到hatccess文件中，将该文件存放到你的站点根目录下，

公司网站是公司在互联网上进行网站建设和形像宣传的平台，相当于一个企业的网络名片。所以公司网站技术只是辅助，做之前应该策划好网站的目的是什么。具体操作以下步骤。

一、公司网站制作的标

公司网站制作一般分为：网站策划，网站制作，网站维护，网站推广

二、网站策划

网站策划出了上面说的明确网站目的之外，网站的具体实际操作步骤都要有，网站策划内容需要具有可操作性，如果只是一些空头话的话，还不如没有！网站策划需要解答的问题：

1、建站

网站策划需要主导企业建站。做出网站创意案、策划案、需求文档等方案。了解网站建设需求，搞清楚我们要建什么站，我们为什么要建这个站，我们如何建这个站，我们这个站通过什么方式挣钱等问题。分析市场及竞争对手，做出包含网站需求的确定、网站需求评估、网站市场研究、网站定位、网站盈利模式、网站建设方案、网站推广及运营规划、预算等内容的完备网站策划方案。同时，指导并协调相关人员组织实施，解决网站建设过程中的各种问题，保证企业建站进程有条不紊的进行。网站策划需要与网站开发团队的所有人打交道。

2、推广。网站推广仍然是网站策划的工作之一。即使网站运营团队有专业的营销策划人员，但在建站之初，网站策划就需要把该网站如何推广的策略想清楚，并且在推广时制定或与推广策划专员共同制定推广方案并组织实施。

3、运营。网站策划人员应该精通网站运营的相关知识，并拥有丰富的运营经验。没有做过网站运营的人如何来策划网站呢他根本不懂网站如何运营和如何盈利的话，那么，又如何知道建一个什么样的站呢打比方说，网站就如现实中的一个实体店铺。那么，建站说白了就如购买并装修一个店铺一样，网站推广就是对这个店做宣传，而网站运营就是一个店的日常经营。我们开店为的是挣钱，靠的是平常的经营，而并不是我把一个店装修的漂漂亮亮的就行了。

三、公司网站制作

网站制作阶段往往都是很快速的，网络时代，即便你是自己写程序，也会下载CMS系统，调试安装，优化一下代码，放上最初的内容，一般一两天就可以做好了。目前主流企业建站都喜欢用php建站，因为执行网页比CGI、Perl、ASP更快，具有很好的开放性和可扩展性。像dedecms，PHPCMS，DirCMS等都是基于php源码的！当然了也可以用aspnet,js等，那就是要网站的具体要求了。如果企业建站没有技术团队也不想高价请网络公司建站，那么自助建站工具——建站宝盒是最好的选择，建站宝盒就是采用php语言，mysql数据库，基于对数万中小企业用户建站需求的深入分析，模板集成了上百种网站功能模快、手机网站、网站推广相结合组成。同时支持三种语言中文版网站、繁体版网站、英文版网站、运用功能强大的管理平台，轻点鼠标就能立即制作精美的网站。不需企业编写任何程序或网页，无需学习任何相关语言，也不需第三方代写或管理网站，系统易学易懂，只需应用系统所提供的各种强大丰富的功能模块，即可轻松生成企业个性化的精美网站，该系统能让用户在短时间内迅速架设属于自己公司的企业网站。

四、网站维护

1、服务器及相关软硬件的维护，对可能出现的问题进行评估，制定响应时间；

2、数据库维护，有效地利用数据是网站维护的重要内容，因此数据库的维护要受到重视；

3、内容的更新、调整等；

4、制定相关网站维护的规定，将网站维护制度化、规范化；

5、做好网站安全管理，防范黑客入侵网站，检查网站各个功能，链接是否有错。

五、网站推广

简单的说，网站推广就是以互联网为主要手段进行的，为达到一定营销目的的推广活动。网站推广是指将网站推广到国内各大知名网站和搜索引擎。

1、利用网络广告平台来进行高效的网站推广：

形式包括：BANNER广告、关键词广告、分类广告、赞助式广告、Email广告等

2、利用良好的媒介来做好网站推广的信息发布

形式包括线黄页、分类广告、留言簿、论坛、聊天室、新闻组、博客网站、供求信息平台、行业网站等发布信息作推广

3、多使用一些促销的手段来进行网站推广

4、擅于利用软件来进行高效的网站推广

用户名，密码复杂性，即使hack拿到密码也不容易逆转破解；后台目录务必重命名，越复杂最好；关注官方网站，跟相应的杀毒软件，定时修补补丁，定时查杀多余php文件；

后台设置，删除多余会员，关闭会员功能，系统基本参数-会员设置，互动设置等限制；

精简设置，不需要的功能都删掉，每个目录下加一个空的indexhtml,防止目录被访问；可删除的功能：member，special，install（必删），company（企业模块），plus\guesbook留言板等一般用不上的功能；

可以删除不必要但容易受攻击的文件（再文件夹下搜索即可）：file_manage_controlphp，file_manage_mainphp，file_manage_viewphp，media_addphp，media_editphp，media_mainphp,downloadphp(没有下载功能)，feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。

为了防止HACK利用发布文档，上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)

织梦权限设置，

1>include,plus,member等附加组件 可读取 不可写入 执行脚本（纯脚本）

data、templets、uploads,images 可读写 不可执行（执行权限无）

2>设置iis权限，去掉user权限，自己设置一个权限；目录设置、不允许执行脚本：

织梦关闭自定义表单前台预览，删除友情链接申请功能；网站提交登陆一定要有验证码，防止hack暴力破解，提交。

也可以使用第三方安全插件：如360网站卫士，DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击：系统—病毒扫描—开始扫描，删除织梦系统以为的php文件；

这个提示并不是系统错误或者是BUG，而是CMS系统的一种安全防护。

提示解说：CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

解决方法：简单讲，出现这个提示，就是当前使用的CMS系统中修改的网页有验证内容，当检测非原网站的链接时，就会有这样的提示，需要自行修改dede目录中的tplphp页面内，相关的CSRF验证代码。