根据自己的测试，和参考了一些高手的文章，我总结了下，dedecms的安全防护要做那些设置。
一、dedecms后台账号和密码的修改，这个问题我相信很多站长都知道它的重要性，这里我就不多说了。下面说下修改的3种方法。
1、在安装dedecms程序的过程中，我们把默认的管理员账号和密码修改下，不要用默认的密码。密码长度最好是在8位以上。密码设复杂一些。
2、安装的过程中如果不想做修改，那我们还可以在安装完成后在后台的系统设置—系统用户管理中修改自己的密码。这里后台的用户名不能做出修改。
3、后台的用户名我们可以在数据库的dede_admin字段中修改，数据库中我们同样也可以修改后台的密码。
二、安装完dedecms程序之后，我们一定要把更目录的install文件夹删除。这个目录在我们安装完dedecms之后就没的什么用了，但是这个文件的存在还是一个很大的漏洞。
三、管理目录，就是根目录的dede文件夹，这个文件夹的名称一定要做出修改，最好是形成MD5形式的，越长越好，大家可以自己测试一下。
四、安装dedecms过程中，数据库表明前缀要是没有什么特殊的需求，我们要把默认的dede_这样的前缀修改掉。
五、及时的关注后台的程序更新，及时的给程序打补丁。
六、服务器安全，这点是比较重要的。选一个好的服务器商，就像我们选老婆一样，一定要选个好的。如果你是独立主机，相信在搭建服务器时就考虑到了这一点。服务器上一定要安装最新版本的防毒杀毒软件，及时升级更新，并设置好服务器的安全权限，让木马找不到入侵的大门。至于如何设置，网上随便一搜一大堆;如果你是租用的虚拟主机，那就要擦亮你的眼睛仔细甄别了。现在的一些IDC代理商都是只认钱不认人的，选择好的空间商，会给你一个更安全的建站空间。即使出了什么问题，也能第一时间得到解决。要知道，站点出现的有些问题是不能拖得，特别是被恶意挂马，一步留神可能就被K站了。
七、dedecms根目录的目录权限设置。下载并安装了程序之后，首先要做的就是设置目录权限，这样即使木马突破服务器的限制，我们也让它找不到进一步破坏的路。如果你是windows主机，目录权限可以这样设置：
1、 data、templets、uploads、a目录， 设置可读写，不可执行的权限。
2、 不需要专题的，建议删除 special 目录， 需要可以在生成HTML后，删除 special/index.php 然后把这目录设置为可读写，不可执行的权限。
3、 include、member、plus、后台管理目录 设置为可执行脚本，可读，但不可写入（安装了附加模块的，book、ask、company、group 目录同样如此设置）。此外，建议把install 目录删除并不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，许可权限为：SELECT， INSERT ， UPDATE ， DELETE，CREATE ， DROP ， INDEX ， ALTER ， CREATE TEMPORARY TABLES 。由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
4、我们用不到的功能，删除掉这些文件不影响我们网站正常运行的文件，我们都可以把它删除掉。比如：
(1)留言板、会员等功能。
(2)后台的文件管理（管理目录下file_manage_xxx.php），不用的可以删掉，这个不是很安全，至少进了后台上传小马很方便.
(3)下载发布功能（管理目录下soft__xxx_xxx.php），不用的话可以删掉，这个也比较容易上传小马的.
八、FTP密码设置问题。FTP的密码设置一定要长，密码一定要多变，设的要复杂。如果你的FTP密码很简单，就容易被一些FTP弱口令软件猜中。可以自己测试下自己的FTP密码。
九、数据的备份。这个是每个站长都明白的。数据是我们的财富，我们一定要勤备份数据。这样就算是网站被黑，也能通过重装程序还原数据，将损失降低到最低。
能做到以上的这些，我相信你用dedecms搭建的网站的安全性还是不错的。不过天下间，没有绝对的安全。
还有那些地方说不对的、不完善的，希望高手能指正和批评！