防漏洞防挂马：dedecms织梦plus目录改名提高网站安全性

dedecms织梦的漏洞主要集中在data、include、plus、dede、member几个文件夹中的php文件里，应该都知道，把这些文件架下面的文件进行删除，用不到的就暂时删除先，以减少攻击几率。注意删除php后还要删除想要的htm模板。

还有就是文件权限安全因素，可以把这些文件夹设置为不需要写入的设置为只读、但不可写入，有执行权限就行了。能写入的设置为可写入，但不可以执行权限

比如：将data、templets、uploads、a或html目录， 设置可读写，不可执行的权限，include、member、plus、后台管理目录 设置为可执行脚本，可读，但不可写入（安装了附加模块的，book、ask、company、group 目录同样如此设置）。

plus文件的重命名方法网上比较少，这个也比较简单，因为这个文件夹是独立的，所以本文主要说一下这个文件夹的修改。

首先做好整站备份，后台数据库备份，然后打包整站备份好，就算修改include更名失败只要删除就好

网站备份操作如下：

1、比如网站放在11181文件夹里面，先登录后台数据库备份，备份完成后，复制11181文件夹，然后在粘贴，这样会有一个11181 - 副本文件夹

2、如果改名include失败，后台不能登录，或者出现意外直接删除11181文件夹，改名11181 - 副本为11181

3、按照下面步骤重复改名include几次，你会成功的。备份做好，以防万一。

首先、plus文件夹的重命名修改，把plus替换成你想要的名字，比如nide

第一、include目录

打开\include\common.inc.php 找到

改为

1、打开include/arc.caicai.class.php 找到

改为

2、打开include/arc.rssview.class.php 找到

改为

3、打开includedialog文件下面的所有php文件

查找/plus/ 

替换成/nide/

有好几个地方

4、支付宝接口文件includepayment文件下面的所有php文件

查找/plus/ 

替换成/nide/

有2个地方

5、打开include aglibinfolink.lib.php

查找plus 找到

改成

第二、plus目录，改名后的nide目录

打开nide目录下所有的php文件

查找plus/ 

改成nide/

但是需要注意的是

这段代码include_once(DEDETEMPLATE.'/plus/

这个的目录位置是templets/plus 

所以，这个不要换，后面templets/plus的plus目录可以和nide不一样

又可以改名为nide123等等名称

第三、templets目录

default目录

plus目录

system目录

好几个地方都有，

查找plus/ 

改成nide/

但是需要注意的是

这段代码include_once(DEDETEMPLATE.'/plus/

这个的目录位置是templets/plus 

所以，这个不要换，后面templets/plus的plus目录可以和nide不一样

最后一个位置，dede目录

1、打开dede目录下所有的php

查找plus

有几个地方需要修改

注意$tmpfile = $cfg_basedir.$cfg_templets_dir."/plus/sitemap.htm";

这个的目录位置是templets/plus 

2、然后打开dede emplets目录下的所有htm

查找plus

有好多地方需要修改

会员目录member

1、打开feedback.php

改为

2、打开shops_orders.php

改为

3、打开member emplets文件夹下所有的htm

查找plus/

改为nide/

这样就算把plus改完成了

其实这个plus目录是插件的目录，比如上传插件，安装以后都会在这个文件夹里面，所以这个目录是独立的存在，可以把插件放到其他的目录。

不要plus也可以，把plus改成nide以后，这个目录想要不被暴露，那就改改调用标签

检查调用标签是否出卖了名称

如果不注意调用标签，调用标签出卖了目录名称，只能说你改名也是徒劳的

{dede:global.cfg_cmspath/}模板安装目录

{dede:global.cfg_memberurl/}这个是会员

{dede:global.cfg_cmsurl/}暴露当前目录，一般多数会暴露plus，其他的也有

{dede:global.cfg_templets_skin/}暴露网站模板default目录

把这标签统统换掉，替换成以下标签

注意加一根斜线{dede:global.cfg_cmsurl/}/是根目录

{dede:global.cfg_cmsurl/} 链接形式是http://www.nide123.cn

{dede:global.cfg_cmsurl/}/ 链接形式是http://www.nide123.cn/

如果是arclist里面加上绝对路径，调用标签是

[field:global.cfg_basehost/]

还有一个就是织梦网站有个调用js的标签，只要是网站标签调用，路径出现目录的都需要改调用标签。

修改plus目录重命名教程完，DEDE有很多漏洞都是出自plus文件夹下的文件，网上有很多挂马工具都有自动扫描网站PLUS目录功能用来匹配漏洞文件，因此为了避免被漏洞入侵，我们可以重命名PLUS文件夹，并将里面无用的文件都清理干净，防漏洞防挂马，提高网站安全性。