DEDE CMS 是免费的吗？

2011-8-19 DedeCMS全局变量初始化存在漏洞

描述：可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21 DedeCMS官方源码被植入后门

描述：导致黑客可以执行任意代码从而控制整个网站或服务器

2013-3-29DedeCMS安全漏洞

描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复

2013-4-1DedeCMS 爆SQL注入漏洞

描述：乌云平台曝光， “0day”，官方已修复

2013-5-2DedeCMS“重安装”高危安全漏洞

描述：被发现“0day”，通知官方修复并启用临时修复方案

2013-6-4DedeCMS 高危安全漏洞

描述：此漏洞为“0day”，官方已修复

2013-9-30DedeCMS 57版本高危漏洞

描述：乌云白帽子上报，“0day”，跨站脚本漏洞，可在前台插入恶意JS代码，黑客已经利用

2014-1-6DedeCMS会员投稿跨站脚本漏洞

描述：攻击者可通过“会员投稿”插入恶意代码，后台管理审稿时“中招”可导致网站被黑

2014-2-17swfuploadswf跨站漏洞

描述：该漏洞乌云平台上报，站长反馈网站在检测时检测出此漏洞，已提供修复方案

2014-3-4DedeCMS多个安全漏洞

描述：包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复

2014-03-05dedecmsV5738 GBK正式版20140305常规更新补丁 member/soft_addphp修复功能错误及存在的漏洞member/soft_editphp修复功能错误及存在的漏洞include/filterincphp修复功能错误及存在的漏洞2014-03-11dedecmsV5739 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732fxml新增畅言模块include/helpers/channelunithelperphp模板标签解析功能完善include/inc/inc_fun_funAdminphp更新提示站点迁移完善include/taglib/flinklibphp友情链接标签缓存完善2014-03-13dedecmsV5740 GBK正式版20140313常规更新补丁 include/helpers/channelunithelperphp修复一个标签解析错误2014-11-28DEDECMS官方网被黑，黑客在织梦服务器端植入恶意代码，所有织梦用户访问后台时会提示下载1exe文件，该程序为后门，一旦下载便会感染成为远控端，而且该病毒会实现反复感染。如果用户为IE浏览器，则会直接感染成为远控端。

随着互联网的高速开展，网络广告做为网站支出的重要来源而备受关心，而且被做为一个新广告媒体的代表而广受赞誉。同保守的广告媒体相比，基于网络媒介的网络广告拥有众多保守媒体没法到达的长处，已然遭到众多玩家的喜爱。经过对网络广告的剖析和探讨，而且在汲取广阔专业探讨论文的根底上，笔者以为从网络广告重要的特性表现在以下几个方面。 织梦好，好织梦　　一、网络广告传达的普遍性 织梦好，好织梦　网络广告能够经过国际互联网络把广告信息全天候、24小时不连续地传达到世界各地，这能够说是风雨无阻的传达。网民能够在任何位置的Internet上随时随意阅读广告信息，这些效果是保守媒体是没法到达的。实践上这恰是网络媒介区别于保守媒介的传达长处之一，表现在网络广告上就是能够面向全世界发布。只是，这个长处关于很多客户来说，似乎并不具有十分激烈的吸引力。 内容来自dedecms　众所周知，企业都希望本身的广告针对特定区域的人群，而不是面向全部人，不然会招致吸引力以及广告效果下降。例如，保健药厂商希望广告的受众是需求保健药的人群。这样的请求也招致少许保守的行业对网络广告发生一种误解，比方房地产，由于房地产商效劳对象具有激烈地域性，重要面向一个城市的居民和企业。因而，在外地的报纸、电视台、路边投放广告，效果无疑比“面向全世界”的网站要好。能够这么说，不论什么企业其营销战略归根究竟都要针关于某一地域、某一局部人，中心台的广告支出即使多，但同全国众多的位置媒体相比，也不过小头。由此可见，网络广告传达的普遍性的这个特性，还没有整个表现为网络广告的长处。 内容来自dedecms　　二、网络传达信息的非强迫性 dedecmscom　报纸、杂志、电视、播送、户外等保守传媒在传达信息时，都具有很大的强迫性，强迫观众承受它们所传达的信息；而网络传达的进程则整个是开放的，非强迫性的，这一点同保守传媒有实质的不同。从兽性化的角度看，网络传达的开放性是一个十分得网民意的长处。只是，从广告效果下去说，保守媒介信息的强迫性传达固然会引发受众的恶感，但这样的传达方式可以确保广告信息为人所接纳到，实践上有利于广告的运营。少数的广告客户在思索投放广告时所思索的往往是该广告可否让更多的人接纳到它，而不是让更多的人自觉去选择它。 内容来自dedecms　网络做为新的传达媒体，其开放性和自在性是史无前例的，借助网络传达长处的无力翅膀，在传达的空间自在的飞翔。 copyright dedecms　三、广告受众数目的可统计性 织梦好，好织梦　我们随处可见的一种主流观念是：“保守媒体做广告，很难精确地晓得有多少人承受到广告信息。而在Internet上可经过威望公正的访客流量统计零碎准确统计出每个客户的广告被多少个玩家看过，以及这些玩家查阅的时刻散布和地域散布，从而有助于客商正确评价广告效果，审定广告投放战略。” 本文来自织梦　但是，实践上广告受众的数目是没法统计出相对数目的，用点击量来权衡条幅广告的效果自身就是错误的，网络广告的作用并不单在于你能否单击。因而，按照这个所谓的统计数目来评价广告效果，其结论是荒唐的。 织梦内容管理系统　四、网络信息传达的感官性 本文来自织梦　网络广告能够使消费者能全方位亲身"体会"产物、效劳与品牌，还能够在网上实行预定、买卖和结算，这些是保守媒体所没法完成的。相比之下，一样是在媒体上实行贩卖活动，不论是电视台的电视购物还是报纸杂志的邮购，都没法同网络竞争。从这一点来看，同保守媒体相比，网络广告的确表现出了其独有的长处。 织梦内容管理系统　五、网络信息传达的交互性 织梦内容管理系统　关于网络广告，只需受众对该广告感兴致，仅需轻按鼠标就能进一步理解更多、更为详细、生动的信息。最可以表现网络传达交互性的是电子商务网站，这类网站对商品分类详细，层次清楚，能够间接在网上实行买卖。

　　只是，目前的网络带宽使得网络广告在发扬交互性时不得不面对种种束缚，消费者实际上并不可以“全方位亲身体会”产物，网络广告号称是多媒体，图、文、影、音并茂，可实践上没法做到这一点。目前的网络广告内容上即使比报纸、电视多，但是在传达效果上，不如电视广告等保守媒体的广告有震撼力。可见，网络广告的互动性长处由于网络要求的束缚被抵消掉了不少，网络广告要想有更大的开展，必需在网络技巧上有新的打破性的提高。 dedecmscom　六、网络传达灵敏的实时性 dedecmscom　　在保守媒体上发布广告后更改的难度比拟大，即便能够改动也需求付出很大成本。例如，电视广揭发出后，播出时刻就已确定。由于电视是线性播放的，牵一发而动全身，播出时刻改一下，往往全天的节目布置都要重新制造，成本很高，假如对布置不称心，也很难更改。而关于网络广告而言则轻易多了，由于网站运用的是少量的超级链接，在一个位置实行修正对其他位置的影响很小。网络广告制造简便、本钱低，轻易实行修正。当然，随着网络技巧的提高和网络带宽的改善，为了追求更好、更震撼的效果，网络广告的制造会越来越复杂、体积会越来越大，修正也会对应的提升本钱，同电视媒体广告的差距会越来越接近。但是从目前来说，修正一个典型网络广告的本钱和难度都比保守媒体要小的多，这就是网络广告关于保守广告的一个很大的长处。

DEDE CMS 是免费开源的。以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，在经历多年的发展，版本无论在功能，还是在易用性方面，都有了长足的发展和进步。

DEDE CMS是存在一定的漏洞。梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。

2011-8-19，DedeCMS全局变量初始化存在漏洞。描述：可能导致黑客利用漏洞侵入使用Dede CMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21，DedeCMS官方源码被植入后门 。描述：导致黑客可以执行任意代码从而控制整个网站或服务器。

2013-3-29，DedeCMS安全漏洞。描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复。

扩展资料：

dedecms优缺点分析：

优点：

易用：使用织梦你可以用十分钟学习它，十分钟搭建一个。完善：织梦基本包含了一个常规网站需要的一切功能。丰富的资料：作为一个国内cms，织梦拥有完善的中文学习资料。丰富的模版：织梦拥有大量免费的漂亮模版，可以自由的使用它们。

缺点：

缺乏灵活性：高度的功能集成造成了织梦灵活性的缺失，所以织梦扩展性并不是很好。安全：织梦作为一个国内开源cms，社区缺乏更好技术支持和环境，所以漏洞频发。社区：织梦的官方社区是收费的，这对于一个开源项目来说本身就是一个问题。

-织梦

织梦后台的登录界面比较简洁实用，不过其中包含了织梦的logo、版权信息和广告，我们可以自定义更改登录界面，把这些织梦的信息更改成我们自己的网站标志，本文是针对新手站长，不需要会太多编程技术，对登录界面进行简单更改。（如果你熟练html网页制作，也可以把整个登录界面完整的重新做一遍）

1、默认登录界面如下图，接下来工作就是更换logo标志，更改织梦版权信息，去掉广告。

更改完成后的对比界面如下图：

2、更改上图中织梦logo

这个logo是个，保存路径：根目录/dede/image/login-bgjpg ，把这个下载到本地，之后用photoshop在这上做简单修改，之后重新上传到对应目录，重新登录后台，就会发现织梦logo已经更换成我们的了。

注意：默认login-bgjpg的大小为4k左右，你处理的大小也要差不多，如果变大的话，在登录界面可能不会显示，所以一般情况下，建议在原图上做处理。

3、更改版权信息和去除广告

这需要更改登录界面的模板，模板位置：根目录/dede/templets/loginhtm 。

打开logoinhtm模板。

（1）在代码的52行左右，找到下面代码：

<div class="login-power">Powered by<a href="http://wwwdedecmscom" title="DedeCMS官网"><strong>DedeCMS<php echo $cfg_version; ></strong></a>© 2004-2011 <a href="http://wwwdesdevcn" target="_blank">DesDev</a> Inc</div>

这就是版权信息代码，可以把其中织梦的信息更改成自己的版权信息，例如懒鸟飞的更改代码如下：

<div class="login-power">Powered by<a href="http://wwwlazybirdflycom" title="懒鸟飞官网"><strong>懒鸟飞<php echo $cfg_version; ></strong></a>© 2012827  Inc</div>

你可以模仿上面更改的内容，更改成你的信息。

（2）在代码的54行左右，找到下面代码：

<div class="dede-iframe"><iframe name="loginad" src="loginphpdopost=showad" frameborder="0" id="loginad" scrolling="no" marginwidth="0" marginheight="0" width="100%"></iframe></div>

这就是底部的广告代码，可以直接删除。

做完上面的操作，保存，刷新就可以看到登录界面已经变成我们更改的界面了，如果你html技术很好，也可以把loginhtm模板任意更改成自己喜欢的样子。

一般是你网站程序有漏洞才会被挂马的，有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

phpcms和dedecms的区：

　　Phpcms和DedeCMS是国内开源的CMS网站管理系统中出色的两个，在性能和稳定安全方面，各有千秋。

一、用户界面

　　后台界面：Phpcms的后台则比较简洁，菜单数量并不多，但各种功能很全，后台首页提供的统计功能使人人网站基本情况一目了然。美中不足的是没有一键更新功能，网站的html代码、首页、栏目等需要分别更新。

二、数据控制能力

　Phpcms的数据控制能力比dedecms强一些。 从时间上来说，用dedecms生成100个html文件的时间，phpcms可以生成2000个。dedecms的搜索性能极差，搜索局限性大。而phpcms可以做到自定义字段都是搜素条件，而且速度快，后台的数据控制灵活性Phpcms比dedecms强很多，在Phpcms后台可以有很多 方式在查找数据，自定义一页显示数据的行数。 dedecms不可能做到。

三、SEO方面

　　网站的seo优化没有dedecms设计的好，dedecms可以很简单的在后台控制url的生成方式，并且重命名，而Phpcms貌似很复杂(Phpcms自定义URL规则技巧)，最重要的是官方不给一点详细的说明。

四、运营与广告

　在PCV9里边，站群的概念有点突出，这一点上思维先进。广告管理：PHPCMS略胜一筹，Phpcms形成了广告位和广告的两个概念，用户可以定义广告位，进 而管理广告。广告位控制广告出现的位置，只需点去选择即可，对代码的依赖性比较低，十分方便站长投放。DedeCMS的广告管理对广告对象的属性概念模 糊，广告位控制甚至还需要通过代码来进行，菜鸟们肯定要下大力气琢磨一番了。

五、模板定制与设计

　　从模板开发上，dedecms面向的是初级站长，甚至不懂编程的计算机爱好者都可以，而且，dedecms的标签都不允许编程({dede:php}除外)，完全都是模板标签操作，入门非常简单，当然了这也是以牺牲可定制性为代价的。

　　phpcms的模板制作，也采样了dede同意的方式，标签式，但是这个要比dedecms宽松的多，你可以在里面嵌入php代码，可以在模板里面编程，虽然这是软件开发的大忌，但是模板的灵活性明显增加了，用户有了更多的权限和方式去实现自己想要的效果。

　　PHPCMS比DEDECMS最优秀的就是这块了，DEDECMS进行了封装了很多的代码，很多的标签拿来就只管用，但是那些标签代码里有很多的不需要的标签写了一大堆。对于一个喜欢在前台页面代码纠结我来说，织梦这块做得比PHPCMS要缺少一些。

　另外PHPCMS的前台数据调用的方式很有意思，除了一些基本的标签之外，则可以完全经过GET的模式，自己写SQL语句来调取数据。这一点其实也是让 人很纠结的。因为不是每个人都懂SQL语句，如果PHPCMS能做一个象DX的那样方便的SQL调取数据的界面化的功能，那就太好了，再加上配合 PHPCMS前台显示数据的方式，那么前台代码可以做到最大的优化了。

　　对于喜欢在前台模版HTML简洁化的纠结的，PHPCMS相对来说比DEDECMS有优势。

织梦的漏洞大多来自它的插件部分（plus），那我们就从这里着手，我们把里面不需要的插件的php文件统统删掉，只保留自己用的上的友情链接，广告系统等，现如今有被所有的“黑客”抓住不放的两个漏洞（mytagphp,downloadphp）把这两个文件删了，如果你已经中马了，请打开数据库文件，找到这两个数据表，将表里的内容清空！另外到织梦后台，有一个病毒扫描的工具，在系统设置里，点击扫描一下你的网站文件，这样可以把非织梦文件扫描出来，然后删除掉即可！

织梦网站被挂马工具批量挂马

dedecms的系统漏洞，被入侵的话，常见是在data/cache、根目录下新增随机命名目录或数字目录等目录有后门程序。另外，站长要定期维护网站的时候，通过FTP查看目录，根据文件修改时间和名称判断下有无异常。在近期修改的文件中注意筛查，找到批量挂马程序后，一般是个asp和php网页，在FTP工具里，点右键选择“查看”源文件后确认删除。

找到挂马页面批量清理

一些挂马程序会提供织梦后门，在浏览器中输入你的域名/目录/挂马程序的文件名，出来的页面一般要求输入密码，输入刚才复制的密码，进入批量挂马工具。在这个工具里，功能很多，有提权，文件管理，文件上传，批量挂马，批量清马等等。我们可以用这个“批量清马”功能来清楚网站上的挂马代码。查看下挂马代码，复制到批量清马工具下面的输入框里，点开始就可以了。

网站重新生成html静态页面

dedecms本身自带的生成html功能来清理挂马代码，把整个网站重新生成一遍，代码自然就没了。不过这个方法只适合没给php文件挂马的情况下使用。假如php文件被挂马的话，这个方法是没用的。

http://jingyanbaiducom/article/e2284b2b76edc0e2e6118dfahtml