DedeCMS后台漏洞防护实操指南 帮你挡住九成黑灰产恶意攻击

实不相瞒，我前两年靠帮老站长补DedeCMS的窟窿，赚了大半年的奶茶钱，见过太多站半夜被黑、挂黄赌毒广告、数据被扒光的惨案，今天掏心窝子给你们唠DedeCMS后台漏洞防护那点事，全是我踩坑踩出来的干货，没半句虚的。

咱先把话撂这：DedeCMS就像村口开了20年的老杂货铺，当年好用实惠全村人都用，现在门轴磨松了、墙缝漏风了、连锁都是十年前的老款，镇上的小偷（就是那些搞黑灰产的脚本小子）没事就来捅锁眼，毕竟欺负老系统的门槛太低了，随便搜个漏洞POC就能扫一堆站。咱们做DedeCMS后台漏洞防护，本质就是给这老杂货铺换锁、焊窗户、装监控，花半小时折腾完，能让99%的小偷碰一鼻子灰，稳得一批。

先给你唠明白：为啥DedeCMS总被小偷盯上？

懂的都懂，DedeCMS算是国内元老级的建站系统了，鼎盛时期占了中小企业建站的半壁江山，存量站多到数不过来，黑灰产的扫描脚本都是24小时连轴转的，扫到漏洞直接自动挂马、薅数据、挂黑链，根本不管你站大站小，DedeCMS后台漏洞防护这事儿，真的不是可有可无的，是你只要用DedeCMS就必须做的标配。常见的漏洞我给你翻译成人话：

• 后台弱口令：相当于你给杂货铺装了锁，但是密码是123456，小偷一拧就开，我见过最离谱的站长后台密码是admin123，被黑了还问我为啥他的站这么倒霉
• 文件上传漏洞：相当于你家店门口放了个无主筐，谁都能往里放东西，人家放个定时炸弹你都不知道，很多老版本DedeCMS的上传功能没做校验，木马传进去直接就能跑
• 未授权访问：相当于你家仓库门没关，小偷不用走大门就能直接进去搬东西，很多站的后台数据接口没做权限校验，陌生人直接就能扒走全部用户信息
• SQL注入：相当于小偷拿个铁丝捅你保险柜锁眼，三捅两捅就把你数据库里的账号密码全捅出来了

过来人亲测有效的DedeCMS后台漏洞防护骚操作

下面这些操作全是我给几十家站做DedeCMS后台漏洞防护的时候反复验证过的，成本基本为0，5分钟就能搞定一项，你照着做就行，不用懂原理，好使就完了。

第一招：先把大门锁换得亲妈都认不出来

DedeCMS默认的后台地址是/dede，相当于你家杂货铺大门直接对着大马路，路过的谁都知道你家门在哪，这是个人都能来捅两下锁眼，你首先得把大门藏起来。

操作步骤一共两步，傻子都能学会：

1. 先把根目录下的dede文件夹改名，比如改成你家猫的名字加生日，比如miemie2019，别叫什么admin、guanli、houtai这种傻子都能猜到的名，改完之后后台地址就变成你的域名/miemie2019，除了你没人知道
2. 给改完名的后台目录加个二级访问密码，用宝塔面板的直接在站点设置的“目录保护”里加就行，不用装任何插件，相当于大门外再加一道防盗门，就算小偷蒙对了你后台地址，还有第二道密码卡着，根本进不来

还有密码别再用123456、admin123了，整个16位以上的，大小写加数字加符号，就像锁的密码整复杂点，小偷用暴力破解跑一年都跑不出来。这招是DedeCMS后台漏洞防护里性价比最高的，5分钟搞定，能挡住80%的脚本小子瞎逛。

第二招：把店里能漏的窟窿全糊上

老杂货铺墙缝多，你得用水泥全糊死，别给小偷留钻进来的缝。这部分操作也简单，照着做就行：

首先补丁要第一时间更，官方出的安全补丁别嫌麻烦，更就完了，我见过好多站长三年没更补丁，站被黑了才哭爹喊娘，说早知道更一下了，还有别用网上那种乱七八糟的第三方补丁，很多带后门，相当于你找陌生人给你换锁，他自己偷偷留了钥匙，要更就更官方的。

然后把没用的功能全关了，比如你就做个静态企业展示站，要啥会员功能、投稿功能、留言功能？全关了，相当于你家店不卖活鱼，就把养鱼的池子直接填了，免得有人掉进去。我之前有个客户做机械展示站，开了会员投稿功能，被人传了几百条赌博广告，百度收录了才发现，降权降了半年都没恢复。

最后给上传目录加执行权限限制，uploads目录只给读权限，不让执行PHP文件，就算小偷传了木马也跑不起来，相当于你家放杂物的筐不让放易燃易爆品，放了也点不着。用nginx的直接把下面这段代码粘到站点配置里就行：

``` location ~ ^/uploads/.\.(php|php5)$ { deny all; } ```

你别管这串代码啥意思，复制粘帖重启nginx就好使，这是DedeCMS后台漏洞防护的核心操作之一，能挡住90%的上传木马攻击。

第三招：装个24小时不睡觉的看店大爷

锁换了、窟窿堵了，也得有人看店对吧？不然真有那种不怕死的硬撬锁，你也不知道。这部分也不用花啥钱：

先装个免费防火墙，宝塔自带的免费防火墙就行，开CMS防护规则，专门针对DedeCMS的漏洞做拦截，相当于给你家店门口站个保安，小偷一掏撬锁工具就给摁住。我之前有个客户开了免费防火墙，半个月拦了3000多次DedeCMS漏洞探测，要是没这玩意，站早就被扒光了。

要是预算够可以买个云WAF，阿里云腾讯云的基础版也就几十块钱一个月，相当于给你家店门口再装个人脸识别门禁，有前科的小偷直接不让靠近。

最后每天花10秒瞟一眼后台登录日志，有没有陌生IP尝试登录，就像你每天开门先看看锁有没有被人撬过的痕迹，真有异常直接改密码拉黑IP就行。

最后给你灌两句土味真心话

我知道很多老站长嫌DedeCMS老，但是很多站用了十几年，数据都在上面，换系统又费钱又费时间，与其天天担惊受怕被黑，不如花半小时把这些DedeCMS后台漏洞防护的操作做了，稳得一批。就像你家老房子虽然旧，但是你把锁换了、窗户焊了、装了监控，住的照样舒服，比你拆了重盖省事多了。

我去年有个做建材的老大哥，用DedeCMS做的站，一年靠这个站接几百万的订单，我让他做DedeCMS后台漏洞防护他嫌麻烦，说我站小没人惦记，结果去年年底被黑了，首页挂了赌博广告，被百度降权，半年没恢复，损失少说几十万，后来找我哭，说早知道听我的花半小时弄了，也不至于亏这么多。

真的，我帮几十家站做过DedeCMS后台漏洞防护，这么一套操作下来，真的能挡住99%的攻击，你要是按我说的做了还被黑，你来找我，我请你喝奶茶。别嫌麻烦，网络安全这玩意，就是你防的时候觉得没用，出事的时候才知道晚了，听哥一句劝，现在就去弄，弄完你睡觉都踏实。