織夢dedecms修改include重命名提高安全性防漏洞注入掛馬，關(guān)于織夢后臺安全,include文件名怎么修改?

織夢dedecms是新手站長使用得比較多的一個建站開源程序，正因如此，也是被被入侵掛馬比較多的程序。下面就來跟大家說一下怎么重新命名dedecms的include文件夾來提高網(wǎng)站的安全性，減少被黑客軟件掃描到漏洞的概率。

include文件的重命名方法網(wǎng)上比較少，所以本文主要說一下這個文件夾的修改。

網(wǎng)上的方法在數(shù)據(jù)庫替換，這個我還真沒有試過，不過我知道，查找include，然后替換成ainclu，這個辦法是不存在的，所以，想要改名，要一步一步的來。

首先做好整站備份，后臺數(shù)據(jù)庫備份，然后打包整站備份好，就算修改include更名失敗只要刪除就好

網(wǎng)站備份操作如下：

1、比如網(wǎng)站放在11181文件夾里面，先登錄后臺數(shù)據(jù)庫備份，備份完成后，復制11181文件夾，然后在粘貼，這樣會有一個11181 - 副本文件夾

2、如果改名include失敗，后臺不能登錄，或者出現(xiàn)意外直接刪除11181文件夾，改名11181 - 副本為11181

3、按照下面步驟重復改名include幾次，你會成功的。備份做好，以防萬一。

改名查找技巧：文件include的修改大家注意這點。我們是不能把所有文件里的include都替換成ainclu的，我的是把“include/”替換成“ainclu/”，然后再把“/include”替換成“/ainclu”，進行兩次整站的替換，目前還沒發(fā)現(xiàn)有什么錯誤，因為include是php的語言，有很多地方的“include”我們是不能換的。

第一、include文件夾的重命名修改

把include替換成你想要的名字，比如ainclu

溫馨提醒改名include文件名。一定要和include相應的字母數(shù)字一樣，比如include有7個字母，那么你改名的ainclu也是七個字母

我不知道這個說法成立還是不成立，但是，有人改名include多出幾個字母導致功能不能使用，具體的請自己掂量

1、打開根目錄的index.php

找到

require_once (dirname(__FILE__) . "/include/common.inc.php");

改成

require_once (dirname(__FILE__) . "/ainclu/common.inc.php");

2、有用tag標簽的打開tags.php

找到

require_once (dirname(__FILE__) . "/include/common.inc.php");

改成

require_once (dirname(__FILE__) . "/ainclu/common.inc.php");

二、將include文件夾改為ainclu

1、打開include/common.inc.php 大概185行 找到

$cfg_basedir = preg_replace('#'.$cfg_cmspath.'/include$#i', '', DEDEINC);

改為

$cfg_basedir = preg_replace('#'.$cfg_cmspath.'/ainclu$#i', '', DEDEINC);

2、如果使用ckeditor編輯器的

打開include/ckeditor/config.js 里面有有../include/

// 文件瀏覽

config.filebrowserImageBrowseUrl = "../include/dialog/select_images.php";

config.filebrowserFlashBrowseUrl = "../include/dialog/select_media.php";

config.filebrowserImageUploadUrl  = "../include/dialog/select_images_post.php";

這三個地方需要改名

3、找到include/inc/inc_fun_funAdmin.php 查找include 找到

$CKEditor->basePath = $GLOBALS['cfg_cmspath'].'/include/ckeditor/' ;

改為

$CKEditor->basePath = $GLOBALS['cfg_cmspath'].'/ainclu/ckeditor/' ;

繼續(xù)找到

$fck->BasePath        = $GLOBALS['cfg_cmspath'].'/include/FCKeditor/' ;

改為

$fck->BasePath        = $GLOBALS['cfg_cmspath'].'/ainclu/FCKeditor/' ;

這個是編輯器的，如果有添加百度編輯器的也要改下/ainclu/UEditor/'

三、將plus文件夾里面的php改為ainclu

把所有php文件都拖到notepad++ 查找

/../include/common.inc.php

改為或者替換為

/../ainclu/common.inc.php

plus目錄下的php文件帶有require_once(dirname(__FILE__)."/../include/common.inc.php");的還蠻多的

四、打開 templets/plus下所有的htm

查找include

<script language="javascript" src="../include/dedeajax2.js"></script>

<script language="javascript" type="text/javascript" src="../include/js/dedeajax2.js"></script>

<img src='../include/vdimgck.php' />

想辦法把dedeajax2.js搬家和驗證碼../include/vdimgck.php搬移出include目錄

五、打開templets/default下所有的htm

這個是模板目錄，和上一步一樣，遷移dedeajax2.js和驗證碼../include/vdimgck.php

注意不要使用{dede:global.cfg_templets_skin/}暴露模板目錄的標簽

六、會員目錄member

1、打開ajax_feedback.php里面有個驗證碼的位置需要修改

rc='{$cfg_cmsurl}/include/vdimgck.php'

修改為

rc='/ainclu/vdimgck.php'

2、打開config.php找到

require_once(dirname(__FILE__).'/../include/common.inc.php');

改為

require_once(dirname(__FILE__).'/../ainclu/common.inc.php');

3、打開member/templets里面的htm

里面有驗證碼的

../include/vdimgck.php

改成

../ainclu/vdimgck.php

七、dede后臺目錄

將后臺根路徑（如果未改后臺路徑則是：網(wǎng)站根路徑/dede）下的config.php 找到

require_once(DEDEADMIN.'/../include/common.inc.php');

改為

require_once(DEDEADMIN.'/../ainclu/common.inc.php');

1、打開dede目錄下的所有的php

把“include/”替換成“ainclu/”，然后再把“/include”替換成“/ainclu”

2、打開dede/inc/inc_list_functions.php 找到

require_once(dirname(__FILE__)."/../../include/common.inc.php");

改成

require_once(dirname(__FILE__)."/../../ainclu/common.inc.php");

3、打開dede/js/main.js

把“include/”替換成“ainclu/”，然后再把“/include”替換成“/ainclu”

4、打開dede/templets目錄下的所有htm

把“include/”替換成“ainclu/”，然后再把“/include”替換成“/ainclu”

這個是后臺文件 一般都是js目錄路徑和驗證碼路徑，如果驗證碼有更改的按更改的改

這樣就修改完成了include改名為ainclu

如果出現(xiàn)以下情況請看，不包括沒有

但是修改完以后，你會發(fā)現(xiàn)后臺是白的，什么內(nèi)容也沒有，通過一下午的尋找終于找到原因，如下：

特殊情況：

將改名后文件夾中ainclu/common.inc.php里面的define('DEDEROOT', str_replace("", '/', substr(DEDEINC,0,-8) ) );

這句話中給DEDEROOT定義，卻沒有顯示，或者不對。后來才發(fā)現(xiàn)是截取出了問題。

將其改為define('DEDEROOT', str_replace("", '/', substr(DEDEINC,0,-6) ) );即可。

完成上面的步驟后后臺已經(jīng)完成用正常使用。

其他網(wǎng)上找到其他提高網(wǎng)站安全性的方法：

DEDE管理目錄下的 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 這些文件是后臺文件管理器(這倆個功能最多余，也最影響安全，許多HACK都是通過它來掛馬的。它簡直就是小型掛馬器，上傳編輯木馬忒方便了。一般用不上統(tǒng)統(tǒng)刪除) 。

不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。避免HACK利用。

不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除

最后，我們就完成了include的重命名修改。這樣多數(shù)小黑軟件就掃描不到我們網(wǎng)站的漏洞了，網(wǎng)站的安全性得到了進一步的提高。