第一:首頁我們要知道哪些因素是影響網站安全性問題。
1、網站的空間/服務器
������
很多網站都是購買比較便宜的空間,此類網站的安全性能最差,如果賣空間的人盈利很低,更何談幫你維護服務器安全性能。更不談什么穩定性,所以很容易就被入侵,如果購買的是獨立服務器或VPS,應該要配一個專業的技術維護人員,要配置服務器的安全,設置服務器文件的權限,如果網站主沒辦法聘請專業人員,更應該外包給技術人員,因為一個文件夾權限錯誤都可能導致整個服務器癱瘓而被入侵。
2、網站程序問題
������
網站程序是個大問題,如果程序選擇的不對,被入侵的機會非常大。很多網站都是下載一些免費開源的源碼來做網站的,此類型網站有2種情況。
���������
(1)下載一個毫無知名度的免費源碼,此類的免費源碼被入侵的可能性超過百分之99,因為免費,使用者少,開發者更不會去完善漏洞,更不會去升級,導致此類網站逐漸的會出現漏洞,所以,即使大家要選擇開源免費的程序,一定要選擇知名度比較高的。
������
(2)下載知名的建站CMS,如:DEDECMS PHPWING 動易CMS ECSHOP 等免費程序,此類程序使用者比較多,開發者也會經常更新漏洞以及升級,但是同樣的,因為使用者比較多,黑客更喜歡尋找此類型網站的漏洞來進行掛馬,所以,此類型網站需要及時的更新漏洞以及升級,還要根據安全提示去更改文件夾權限。
3、后臺路徑以及賬號密碼
�����
筆者今天就幫客戶維護一個網站,他的后臺路徑是/ADMIN 賬號是admin 密碼是admin123,此類網站如果不被入侵,那都是奇怪的事情了。即使網站程序和網站空間配置的多么好,后臺的路徑更不應該是大眾式的后臺路徑,賬號和密碼也是最通用的,如果黑客用服務器進行掃或嘗試登陸后臺,很容易就讓他們得逞,入侵都是輕而易舉的事情了。所以大家后臺路徑要設置好,賬號盡量不要用admin,密碼也不要用常用的。盡量有大小寫字母的組合!
第二:如何防止網站被攻擊或者被入侵。
1、使用安全加密技術:
���������
用戶或者是管理員在注冊登錄的時候,服務器會對用戶或者是管理員的密碼進行加密,就是把明文的密碼加密成一串加密字符串,通過不安全的網絡傳輸到數據庫服務器上進行儲存或者匹配等。常用的加密技術有 Md5加密,SSL加密等。
2、防止流量攻擊
�����
這種攻擊就是我們常聽說的DDoS攻擊,它分為兩種方式帶寬攻擊和應用攻擊,但我這里講的是指流量攻擊中的常見的寬帶攻擊,是競爭對手慣用的一種方法,一般是使用大量數據包淹沒一個或多個路由器、服務器和防火墻,使你的網站處于癱瘓狀態無法正常打開。對于這種攻擊競爭對手都會花費人力和財力的,如果是真正意義上的DDoS攻擊更是花費不少,個人認為當遇到流量攻擊時不要驚慌,這種方式的花費競爭對手也是吃不消的,所以不會持續太久,如果是真正意義上的 DDoS攻擊,你的空間商也會做相應措施的。建議:選擇有實力有一定規模的服務商,假如有經濟條件你可以購買節點服務器。
3、 防拷貝
���������
當您在瀏覽銀行的網銀時,您經常會發覺您沒辦法在銀行網銀的界面里面使用鼠標右鍵.這樣可以阻止客戶端通過右鍵常看網站的源代碼,這樣可以有效的防范網站客戶端代碼(如:HTML,Js,Css,Img)被拷貝等。
4、 對用戶輸入的內容進行過濾:
����
大部分的網站安全問題都是客戶端通過文本輸入框輸入的。網站服務端需對客戶端輸入的內容進行過濾,如:把客戶端輸入的等代碼過濾掉。這樣會相對有效的防范客戶端的 注入式攻擊和XSS攻擊等。
5、防止破壞數據性攻擊
������
這種攻擊時最致命,也是最卑鄙的一種手段,網站權限被拿到,數據被刪除,這樣就會造成大量的無頁面鏈接,即死鏈接,這對于網站來說是致命的,不僅搜索引擎會降權,還會丟失大量用戶。建議:經常備份網站數據和網站關鍵程序,最好打包到本地電腦里;ftp和后臺相關密碼不要用弱口令。
6、使用URL偽靜態:
��������
網站的網址中經常帶有參數,動態的參數往往會暴露了網頁之間的傳參關系,增加了不安全性。假設把動態的參數重寫為偽靜態的,可隱藏動態的參數,從而提高了網站的安全性。
7、 使用參數化查詢:
������
有時候對客戶端輸入的內容進行匹配還不足以防范Sql注入,而使用參數化查詢可從根源上杜絕Sql注入。
8、 對用戶的ip進行過濾:
�������
這種方式可以過濾掉一些不友好的訪客的ip地址,有效的阻止了拒絕服務攻擊等。
9、 系統記錄日志:
�������
包括服務器日志和Sql日志等,網站管理員可以通過日志中記錄的內容查看客戶端在訪問當前網站的行為,發現有一些破壞性的行為,可進行下一步操作。
上一條:
淺談交換網站鏈接的方法與技巧下一條:
導致網站排名不穩定的因素有哪些
