dedecms 權限，或者Phpwind而不用WordPress？

這問題挺有意思的，聊聊自己的看法。

因為公司業務涉及到這塊，所以對WP和其他很多建站程序都有接觸，也都有一些自己的看法。國內WP的使用率至少在中小企業不算很高。

這并不是說WP不好，中間的原因還是比較復雜的。

首先來說，中小企業建站很少會選擇自己找程序開發，都是找建站公司，而建站公司用WP不多。建站公司一般是自己寫一套后臺出來，然后按年付費。

做過建站這個生意的都知道，對中小企業這種客戶來說，建站往往都是一次性消費。什么意思呢，就是沒有后續續費的可能性。

那怎么解決這個問題呢？讓網站持續依賴建站公司就可以了。WP是完全開源且獨立的程序，不需要按年去支付程序源碼，一次建站之后還想做后續的生意，就只能做衍生出來的業務，比如網站推廣、網站SEO之類的。

但是，這些服務對很多中小企來說也是淺嘗輒止，第一年可能覺得新鮮，就花錢做了，但是第二年，第三年往往都會斷掉。

況且現在很多建站公司也不怎么做這些生意，搞一套源碼出來，讓用戶按年續費，比辛辛苦苦做服務舒服多了。

那可以不續費嗎？有這個可能，但是不高。網站一旦建設完成，就意味著你所有的對外宣傳資料都在里面，想徹底放棄不要，當然可以，那你就要重新再做一個網站，然后循環這個過程。

換個角度想，每年幾千塊的續費好像也不是那么多，多一事不如少一事，花錢買安心，也沒什么不可以的。

說回WP，WP在國內并不是沒人用，接觸到的很多大型企業、集團網站幾乎都是WP出來的。獨立性強，可控性比較強。

建站一般是單獨立項，就是比如說我要做一個網站，好，你們這幾家公司按照我的要求給我報價，我覺得哪家好就選哪家。

網站做好之后也不用去開發什么衍生服務，做好之后連帶服務器權限、網站權限、源碼一并交接，項目就結束了。

不存在什么后續續費的事情，這種合作模式相對來說就簡單、純粹很多。但是這種模式中小企業很少用，都是圖省事，網上找一個建站公司，直接就花錢做了，就是上面說的那個循環。

當然，講這些不是在否定一些建站公司的運營模式，也沒有刻意拔高WP系統。

建站公司的這種運營模式本身并沒有什么問題，明碼標價就是正規生意。而且在市場不太好的情況下，也能夠保證公司相對穩定的收入。

畢竟看事情我們不能完全從企業角度來，也要讓服務商有生存空間。

另一個，WP系統有優點，當然也有一些問題。

比如說，WP很多東西都沒有很好的中文適配，包括插件、模板等等，這對企業接收之后的維護人員有一定的要求，至少你要看得懂，或者能夠找到相關設置在哪里修改才行。

這是WP國內普及一個最大的問題。

另一個，WP和國內主流的搜索引擎應該還沒有建立很好的合作關系。大陸不是海外，百度也不是谷歌，如果沒有想明白這句話，就是對搜索市場還不夠了解。

為什么做網站？還不是希望更多人能看到自己的公司么，那這就必然牽扯到后續網站在搜索引擎中的排名問題。

那么問題就來了，以百度為首的搜索引擎，并不是谷歌，也不會按照谷歌的算法思路走。百度現在走的是適應大陸市場的發展路線：在內容上收緊管控權，做一個內容生態。

注意，這里說的是內容生態，不是搜索引擎。你可以理解為百度現在或者將來要做的，不是搜索引擎，而是一個平臺，比如知乎、比如今日頭條一樣的平臺。

那回到問題本身，如果想在生態中獲得更大的收益，就需要你成為生態的一部分。怎么成為呢？要么被收編、要么合作。

但是這兩點目前看WP都沒有，或者說人家壓根就不想這么干。在谷歌看來，網站和搜索引擎是相對獨立存在的，主權對等。

但是在百度看來，網站要逐漸變為搜索引擎內部的一個組成部分，勢必要被收編改造。這點從百度最近幾年的動作就可以看得出來。

從熊掌號到百家號再到企業百家號，再到后來的百度AIpage，甚至于百度的競價體系、基木魚、子產品愛采購，都是這個目的。

我們不能說這樣不好，但是已經造成了市場的改變。

改變不了的，就慢慢改。

說回WP系統，沒有這層合作關系，在一些數據對接上也能做，但是總隔著一層東西。人家點點鼠標就能同步的東西，你就要老老實實跳轉幾個后臺去做。

當然，這也能理解，用了人家的地沒給錢，總不能指望著人家還敲鑼打鼓地歡迎你不是，不把你趕出去就燒香拜佛了。

沒有無效的推廣，只有沒選對的方法！

我是Dora，10年推廣服務經驗，為7-Eleven、微軟、騰訊等集團提供營銷顧問服務。推廣不走彎路，幫你找到適合自己的渠道，有問題咨詢歡迎私信。

1、提供SEO策略方案制定、企業推廣現狀評估；

2、谷歌seo實戰方法，讓獨立站流量突破瓶頸；

3、分享海外推廣、流量市場走勢、出海推廣操盤策略；

現在大部分網站容易被入侵嗎？

【現在大部分網站容易被入侵】

你的網站真的堅不可摧？目前的網站可分為三大塊：個人運營、團隊/公司運營、政府運營。

個人網站比例還是很大的，這種網站多數采用開源系統，如博客類：Wordpress、Emlog、Typecho、Z-blog、More...，社區類：Discuz、PHPwind、StartBBS、Mybb等等。團隊/公司網站使用常用的開源CMS比例也是非常大，政府類網站基本上外包開發較多。當然互聯網公司自家產品應用必然都是公司自主開發：淘寶？知乎？豆瓣？太多了。更泛一點的說，分為兩大塊：開源與閉源。能夠有效說明網站偽安全的就是從實戰出發的角度去證明到底是不是真的固若金湯。這里之所以講到入侵方法不是為了教大家如何入侵網站，而是了解入侵的方法多種多樣，知己知彼才能百戰不殆。菜刀能夠用來切菜，同樣也能夠用來殺人。黑客們入侵網站普遍的手法/流程：1、信息收集 1.1/ Whois信息--注冊人、電話、郵箱、DNS、地址 1.2/ Googlehack--敏感目錄、敏感文件、更多信息收集 1.3/ 服務器IP--Nmap掃描、端口對應的服務、C段 1.4/ 旁注--Bing查詢、腳本工具 1.5/ 如果遇到CDN--Cloudflare（繞過）、從子域入手（mail，postfix）、DNS傳送域漏洞 1.6/ 服務器、組件（指紋）--操作系統、web server（apache，nginx，iis）、腳本語言 1.7/ More...通過信息收集階段，攻擊者基本上已經能夠獲取到網站的絕大部分信息，當然信息收集作為網站入侵的第一步，決定著后續入侵的成功。2、漏洞挖掘 2.1/ 探測Web應用指紋--Discuz、PHPwind、Dedecms、Ecshop... 2.2/ XSS、CSRF、XSIO、SQLinjection、權限繞過、任意文件讀取、文件包含... 2.3/ 上傳漏洞--截斷、修改、解析漏洞 2.4/ 有無驗證碼--進行暴力破解 2.5/ More...經過漫長的一天，攻擊者手里已經掌握了你網站的大量信息以及不大不小的漏洞若干，下一步他們便會開始利用這些漏洞獲取網站權限。3、漏洞利用 3.1/ 思考目的性--達到什么樣的效果 3.2/ 隱藏，破壞性--根據探測到的應用指紋尋找對應的EXP攻擊載荷或者自己編寫 3.3/ 開始漏洞攻擊，獲取相應權限，根據場景不同變化思路拿到webshell4、權限提升 4.1/ 根據服務器類型選擇不同的攻擊載荷進行權限提升 4.2/ 無法進行權限提升，結合獲取的資料開始密碼猜解，回溯信息收集5、植入后門 5.1/ 隱蔽性 5.2/ 定期查看并更新，保持周期性6、日志清理 6.1/ 偽裝性，隱蔽性，避免激警他們通常選擇刪除指定日志 6.2/ 根據時間段，find相應日志文件太多太多。。。5說了那么多，這些步驟不知道你看懂了多少？其實大部分的腳本小黑顯然不用這些繁瑣的步驟，他們只喜歡快感！通常他們會使用各種漏洞利用工具或者弱 口令（admin,admin888)進行攻擊，入侵無果就會選擇睡覺、打飛機或者去做一些其他的事情。當然，這種“黑客”僅僅是出于“快感”而去想入侵 你的網站，如果是別有它意的人，麻煩就來了。

如何更新自己的網站？

看你用的是什么網站管理系統了，更新一般在網站后臺更新。 常見的網站管理系統有，dedecms、discuz、帝國、ECShop、 phpwind、WordPress等等。 如果是dedecms、ecshop、WordPress等的就是在網站后臺更新文章。 像diasuz、phpwind、帝國等前臺后臺都行。 如果是其他網站程序，一般都是在網站后臺更新文章。 文章的更新一般要一定的管理權限的。

香港服務器的防御如何？

Web服務器配置安全是網站運營部門最關心的問題之一,很多租用香港服務器的用戶表示，網站總是被別人冒用谷歌或者搜狗IP掃描網站，導致網站運行與日志文件占比99%以上。頻發的網絡攻擊表明Web服務器是最容易被黑客針對攻擊的地方。這可能是網站系統漏洞，而且攻擊者在掃描網站后，會立馬刪除文件，所以我們壓根很難找到隱藏文件。

web服務器配置會出現的漏洞介紹：

SQL注入漏洞、XSS跨站腳本漏洞可能會導致：釣魚欺騙、網站掛馬、身份盜用、網站用戶信息被盜用(像qq被盜用群發一些虛假、借款、色情信息給朋友)、劫持用戶Web行為、XSS蠕蟲用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊，像很多色情網站可以做到免廣告，就是通過海量的點擊瀏覽量來挖礦，販賣你身份信息。

清馬+修補漏洞=徹底解決所謂的掛馬，就是heike通過各種手段，包括SQL注入，網站敏感文件掃描，服務器漏洞，網站程序0day, 等各種方法獲得網站管理員賬號，然后登陸網站后臺，通過數據庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得服務器或者網站FTP，然后直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時，你就會自動的訪問被轉向的地址或者下載木馬病毒。

web服務器被攻擊的解決方案：

網站被被攻擊了，首先查看網站的服務器，當我們發現網站被攻擊的時候不要過度驚慌失措，先查看一下網站服務器是不是被黑了，找出網站存在的黑鏈，然后做好網站的安全防御，具體操作分為三步：1、開啟IP禁PING，可以防止被掃描、2、關閉不需要的端口、3、打開網站的防火墻、刪除不必要的服務。

默認操作系統安裝和配置往往不是安全的。一個典型的默認安裝包含許多網絡服務,比如我們安裝dede后臺的時候，通過修改后臺文件名防范，在選擇應用ftp服務器上傳文件的時候，避免,更多的端口打開,可以每次使用完了以后再選擇可修改變量等操作。

提示:為了網站安全性,可以在每次修改完后關掉操作權限。屏蔽Web應用程序文件謝絕修改，權限設置為只可讀。監控和審計Web服務器。

這些是只能防簡單的攻擊，網站為什么會被黑，網站掛馬是每個站長最頭痛的問題，個人認為網站被黑的原因一般分為兩種。第一種是服務器空間商的安全，導致被牽連。第二種就是網站程序的安全自身的程序安全漏洞被黑被入侵被掛馬。有條件的話可以找專業做安全的去看看. 公司的話可以去Sine安全看看聽朋友說不錯。一般都是網站程序存在漏洞或者服務器存在漏洞而被攻擊了。

解決辦法：

在程序中很容易找到掛馬的代碼，直接刪除，或則將你沒有傳服務器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。找專業的程序員解決是最直接的，當然有錢還是配置好的香港高防服務器了，Juniper SRX防火墻安全可靠，百G級別防御確，復合智能防御策略高效防護。因為解決海量攻擊的最好辦法就是，深淘灘，低作堰，通過更大的流量保護正常流量！

cms到底怎么樣？

首先可以明確的告訴你，DedeCMS的0day漏洞很多，而且也有一年多時間沒有維護了。所以網上“流傳”DedeCMS不安全、漏洞多是真實的情況，但這也洽洽說明dedecms在以前的確很火。

DedeCMS后臺功能上是很齊全的，而且操作起來簡單，用來二次開發也比較容易，所以在前幾年受到不少套網站的程序員的熱愛。正因為如此，再加上它是開源的，所以不少人發現漏洞后就開始攻擊基于這款CMS的網站，每次一曝出漏洞，受到影響的網站很多。

考慮到現在官方也沒維護了，所以建議大家選擇其它CMS，比如PHPCMS在安全性上就給DedeCMS要好得多；而且現在PHP版本都比較高了，DedeCMS在這些高版本的PHP環境下運行會存在一些兼容性問題。

如果你的網站現在用的就是DedeCMS那建議作好安全加固措施，比如：

若網站沒有交互，可以全站生成靜態頁，然后靜態頁單獨部署，將后臺和前臺分離，這樣別人無法攻擊動態腳本；

源碼目錄權限嚴格控制，避免權限過大導致的非法文件可以上傳或者可執行。

綜上，DedeCMS不建議選擇。

以上就是我的觀點，對于這個問題大家是怎么看待的呢？歡迎在下方評論區交流 ~ 我是科技領域創作者，十年互聯網從業經驗，歡迎關注我了解更多科技知識！