如何做好网站安全工作
如何做好网站安全工作这篇文章本应该在csdn、人人网、天涯社区等知名网站用户数据被泄露时就应该写的,可当时实在没有写网站安全方面文章的动力,很多博主都在探讨网络安全方面的事情,很多文章甚至有雷同的部分,直到上周我的几个网站接连不断被********,网站安全工作才真正引起了我的重视。其中2个用dedecms做的网站,网站底部被挂了大量的隐藏链接,我还是在检查友情链接的时候发现了有大量的导出链接,通过查看源代码才发现网站被入侵了。 另一个********的技术要高明很多,从网站表面甚至源代码你根本看出有任何被****的迹象,直到有一天我查看这个网站的流量数据时,发现了有一部分来自xxx关键词的流量,我感到很困惑,自己从来没有做过这方面的关键词怎么会有流量呢?当我用谷歌网站管理员工具里面的‘像谷歌一样抓取’查看时,发现了问题,原来搜索引擎抓取的和用户看到的内容是不一样的。又后来另一个网站又遭遇了另一种问题,当用户从站内或者其他非搜索引擎网站进入访问时完全正常,但却凡是百度、谷歌、soso、搜狗等搜索引擎的流量来源都会跳转到一个淘宝客推广页面。 下面是其中一个网站被挂的恶意代码:
这应该是最新型的网站入侵方式,大家有空可以检查下自己的网站是否被挂了类似恶意代码,遇到某个关键词排名靠前、百度指数也很高而带来的流量却很少时同样也需要引起重视。以上是简单介绍了我的网站被入侵情况,下面将为大家介绍如何防止网站被入侵也就是如何做好网站的安全工作。 一.经常检查网站数据 一般被挂马的网站大部分是长期无人管理维护的网站,尤其是一些企业网站,包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因,后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆,所以尽量定期抽出时间检查下你不常更新的网站。 二.dedecms系统漏洞 由于dedecms的流行,用dedecms仿站成了被黑客攻击的目标之一,从dedecms5.1到现在的5.7,依然有部分漏洞,用dedecms做的网站要注意以下几点, 1.修改默认后台(dede)路径 2.删除install安装目录 3.如果不需要使用会员可以直接删除member目录 大部分黑客入侵dedecms网站就是利用会员投稿功能,上传木马文件。 三. 禁止重要文件和目录被执行、写入 dedecms系统网站可以做如下设置 1.以下目录:data、templets、uploads、a设置可读写不可执行权限。 2.以下目录:include、member、plus、dede设置为可读可执行不可写入权限。 目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。 四.网站被入侵以后如何处理 1.用备份文件覆盖 2.没有备份的话,找出最近被修改的文件,查看这些文件是否包含恶意代码。 3.找出网站程序多出的文件,重点注意网站根目录是否有未知文件。 五.ftp和服务器安全设置 建议使用linux服务器,ftp和服务器用户名和密码要设置复杂点,尽量用字母+数字+特殊符号,使用独立服务器或者vps的要详细了解服务器安全配置方面的教程,确保服务器安全。 以上是武龙杰总结的如何做好网站安全工作,实际情况可能根据每个网站所使用的程序不同而要复杂很多,但是做好以上工作,网站基本上是不容易被入侵的,即使被入侵了也不用过于担心,只要认真排查还是能够找出被恶意修改的文件的。最后提醒大家一定要重视网站安全工作,一旦网站被入侵并且长期没有被发现将会给你带来很多麻烦,尤其是seo方面的影响。 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |