2024织梦DedeCMS挂马清理修复：站长实测3步彻底清 附7项永久防黑加固

最近帮3个开企业官网和织梦素材站的朋友搞定了 DedeCMS挂马清理修复 问题，他们都是半夜后台弹安全警告、首页跳博彩/借贷广告才发现的，折腾了大半天清不干净还反复。其实织梦因为很多站长用旧版本（比如5.7SP2早期）、后台插件没审核、权限配置乱，确实是灰黑产的重点目标，但只要按对步骤，新手也能快速处理。 接下来我会从识别后门挂马痕迹、分层彻底清理、织梦专属安全加固三个维度说，都是我亲自踩坑验证过的实用方法，没什么花架子。 首先第一步，先别急着删文件改内容，先做挂马痕迹全排查，避免漏网之鱼。可以先登录云服务器控制台（宝塔面板的更方便），先看近3天的异常日志，重点找陌生IP访问admin、plus、data、uploads这些敏感目录的POST请求，还有文件名带eval、assert、base64、webshell关键词的。然后用宝塔的webshell查杀工具先扫一遍，同时手动检查几个核心重灾区：

• data/cache、data/tplcache：这些缓存目录经常被灰黑产植入免杀的一句话后门，比如格式为.php.jpg或者.jpg.php的混淆文件
• plus：织梦很多第三方plus漏洞多，比如plus/flink.php、plus/guestbook.php、plus/download.php早期版本都有SQL注入或文件上传漏洞，看看有没有陌生的plus文件
• uploads：图片上传目录，很多带后门的伪装图片就藏在这里，可以看文件的修改时间和大小，比正常图片大几KB甚至几十KB的基本有问题
• 根目录：检查有没有index.html.bak、admin.php.bak这类被篡改后留下的备份文件，还有陌生的.php、.asp、.jsp文件（织梦是PHP，出现其他脚本语言直接删）

排查出问题后，第二步就是分层彻底清，不留后门。先备份整个网站数据库和文件，哪怕有问题也要备份，万一误删核心文件还能救回来。然后分三层清理：

• 第一层：静态挂马清理——如果只是首页、列表页跳广告，一般是被修改了模板文件（templets/default/index.htm这类）、根目录index.php/index.html，直接用备份的干净模板覆盖就行，如果没有备份，就用浏览器查看页面源代码，找到广告跳转的JS或iframe代码删掉，再上传干净的织梦对应版本的根文件覆盖（记得先备份干净的当前覆盖文件，怕版本不兼容）
• 第二层：动态webshell清理——把刚才排查出的陌生.php混淆文件、伪装图片文件全删掉，然后检查核心文件的哈希值（比如用宝塔文件校验功能，对比织梦官方对应版本的MD5/SHA256值），哈希值不对的核心文件直接用官方纯净版覆盖
• 第三层：数据库挂马清理——登录phpMyAdmin，先全选数据库点击“导出”备份，然后重点检查dede_admin、dede_arctype、dede_archives这几个表：dede_admin看有没有陌生的管理员账号（不是自己创建的直接删）；dede_arctype和dede_archives看文章内容、栏目内容有没有隐藏的JS/iframe代码，有的话批量替换掉

最后一步，也是最关键的一步——织梦专属安全加固，避免再次被黑，很多朋友清理完没几天又中了，就是因为没做加固。 首先是织梦系统版本升级，如果是5.7SP2早期版本，直接升级到织梦官方最新的5.7SP2正式版（注意：升级前必须先备份数据库和文件！），官方最新版修复了大部分已知的漏洞；然后是敏感目录权限调整，在宝塔面板里把data、uploads、templets目录的权限改成755，把include、member、install（如果不需要安装直接删掉整个install目录）目录的权限改成750，把所有.php文件的所有者改成www（宝塔默认的web用户），权限改成644；接下来是后台安全加固：修改后台登录目录dede为一个复杂的名字（比如dede_admin2024abc），修改管理员账号密码（密码用大小写字母+数字+特殊符号，至少12位），开启后台登录验证码和IP限制（只允许自己常用的IP访问后台）；然后是插件管理：删掉所有不需要的第三方plus插件，只留官方的几个必要插件；然后是图片上传限制：在后台系统设置里把允许上传的图片格式改成只有jpg、png、gif，禁用.php、.asp等脚本语言格式的上传；最后是定期备份：设置宝塔面板每天自动备份数据库和网站文件到阿里云OSS或腾讯云COS，这样就算再次被黑，也能快速恢复到昨天的干净版本。 刚才帮朋友处理的时候，顺便给他们推荐了几个织梦官方的安全插件，比如DedeCMS安全中心插件，能实时监控网站的异常登录、异常文件修改、SQL注入等，还是挺有用的。 对了，还有个小技巧，如果你的织梦网站只是用来展示内容，不需要用户注册、评论、下载这些功能，可以直接把member、plus/guestbook.php、plus/download.php这些目录和文件删掉，这样能大大降低被黑的概率。