织梦DedeCMS默认友情链接的平安隐患与解决方案

织梦DedeCMS作为国内主流的开源内容管理系统，凭借其易用性和灵活性被广泛采用。只是其默认安装的友情链接功能存在严重的平安隐患，可能导致网站模板路径泄露甚至遭受黑客攻击。本文将深入分析这些风险，并提供简单有效的解决方案。

一、默认友情链接的核心平安隐患

织梦DedeCMS的友情链接功能默认包含两个关键文件：plus/flink.php和plus/flink_add.php。这些看似正常的页面存在以下致命问题：

• 模板路径泄露通过URL参数可轻易获取网站模板目录结构
• 目录遍历风险攻击者可利用路径遍历漏洞访问敏感文件
• 默认Logo后门默认模板中的logo图片路径可能被恶意利用

实际测试发现， 当用户访问plus/flink.php时URL会暴露完整的模板路径，攻击者可据此：

• 定位模板文件位置
• 尝试上传恶意模板
• 进行目录扫描攻击

二、平安处理方案详解

1. 彻底删除默认友情链接功能

最直接有效的解决方案是移除存在隐患的文件：

1. 通过FTP或服务器管理工具删除以下文件：
   • plus/flink.php
   • plus/flink_add.php
2. 登录后台"模块→友情链接"删除所有默认链接
3. 清理数据库中的相关数据表

操作提示删除前务必备份数据库，避免误删重要数据。

2. 修改默认Logo路径

如需保留友情链接功能， 必须修改默认logo路径：

1. 定位默认模板文件：templets/default/images/linklogo.gif
2. 将logo文件移动到非Web目录
3. 在模板文件中修改路径引用：

   // 原代码
   // 修改后
   

关键点确保新目录在Web根目录之外且设置正确的文件权限。

3. 增强目录访问控制

通过服务器配置加强目录防护：

• 在.htaccess中添加规则：

  Order deny,allow
  Deny from all
  

• 设置templets目录为禁止访问：

  
      Require all denied
  

三、 一招解决：全流程操作指南

综合以上方案，

1. 备份系统完整备份网站文件和数据库
2. 删除隐患文件
   • 删除plus/flink.php和plus/flink_add.php
   • 清理后台所有默认友情链接
3. 修改模板路径
   • 移动logo到平安目录
   • 更新模板中的路径引用
4. 强化权限控制
   • 设置templets目录禁止访问
   • 配置Web服务器平安规则
5. 验证效果
   • 尝试访问原友情链接URL
   • 检查模板路径是否被隐藏

四、平安维护建议

处理完成后建议采取以下长期防护措施：

• 定期扫描网站目录结构
• 使用WAF拦截异常请求
• 更新到最新版本的DedeCMS
• 实施最小权限原则：限制后台操作权限

特别提醒未处理的默认友情链接可能被搜索引擎收录，持续暴露网站结构。建议使用Google Search Console检查并清理相关索引。

通过以上步骤， 可彻底消除织梦DedeCMS默认友情链接的平安隐患，有效保护网站模板结构和敏感数据。平安无小事，建议马上施行操作并定期复查。