织梦到底安全吗？这是所有使用织梦的站长都问过的问题，小编在这里只能告诉大家，没有绝对安全的程序。可为什么大家都说织梦不安全呢？

随着织梦cms的使用者增加，一些漏洞也就被慢慢的发现。

众所周知，织梦的某些php文件包含漏洞，比如任意上传漏洞，spl注入漏洞，都是比较让站长伤脑筋的。

那么我们如何做好相应的安全防护呢，小编特意程序研究了一下织梦的一些漏洞文件，发现问题总是出现在4个重要文件夹里面：

第一步：修改dede后台文件夹名称

后台文件夹dede是我们管理网站登录的文件夹，安装好程序之后一定要修改dede目录名称，建议用数字和字母的组合，这样就可以大幅度提高安全性。

如果有一定基础的站长可以删除目录下一些不必要的php文件，比如我们做企业网站，那么我们只留下文章发布、文章修改、生成、列表、自定义表单等等我们需要用的php和htm模板，其余都删除掉，这样安全性会大幅度的提高。
尤其是友情链接模块和友情链接的php文件，据说这是第一个被发现的后台注入漏洞，建议大家删除该模块和php文件，如果需要友情链接，我们可以手动写入到模板中。

第二步：删除install文件夹

install文件夹是织梦程序的安装文件夹，为了防止被人恶意安装，我们在安装完成织梦cms之后要把这个文件夹全部删除，如果我们需要搬迁网站，那么可以从织梦的官方网站再次下载文件包，把install文件夹拷贝一下到根目录即可。

第三步：删除member文件夹或修复BUG【修复漏洞点击这里】

member是织梦的会员目录，可以说是发现漏洞最多的目录，因为会员的一些文件上传权限问题，导致了网站有了安全隐患，如果我们是做企业网站或者个人网站，删除这个文件夹是最稳妥的方法。删除后我们进入后台的系统设置里面关闭会员功能（默认是关闭状态）。如果需要用到会员功能，建议大家过滤一遍member文件夹里的php文件和htm模板文件，删除多余的功能，htm模板中也删除掉一些不用的代码，安全性是没问题的。

第四步：修改plus文件夹名称

plus是织梦的动态数据储存文件夹，也是黑客们批量扫描网站最喜欢的文件夹，建议把plus名称修改一下，这样就降低了批量扫描时被爆破的概率。
（修改plus名称之后会导致一些功能无法实现，比如文章点击量计数器，动态浏览等，这时候我们需要修改一些文件内容来对接。）

打开系统配置文件/include/common.inc.php
找到大概191行的代码：$cfg_plus_dir = $cfg_cmspath.'/plus';
把plus修改为新名称即可。

篇外话：建议大家把根目录下的模板文件夹templets名称也修改一下，防止模板被直接访问，修改步骤请查阅这篇文章：

http://www.dedecmsok.com/html/n43.html