最近老听到一些网站受到攻击者挂马,挂黑链;而且还有不少是名站,特别一些学校的官网和地方政府的网站,更是被黑的重灾区。像之前的“满意”和“非常满意”事件显然就是黑客作为。一般像这种恶作剧的攻击比较少,更多是进行挂马,挂黑链,毕竟这两项对于一些菜鸟黑客最好的收入来源,挂马可以盗取资料,和黑链可以卖个好价钱,而且入门较低,花点钱拜个师傅就可以学会。 一般在国内比较多人用的是动网,织梦,帝国等。这些网站程序方便易用,上手容易,但由于这些源码开放,而且使用者多,而且路径和数据库都是默认,所以其攻击也相对比较系统化,也相对比较熟悉。 虽然说现在开个网站很容易的,管理了也简单化了,但对于网站的管理者,基本的网站安全知识是应该有的。目前关于网站安全的论坛不多,但像落伍者,中国站长都有一些安全模块,可以去了解。还有一些安全网站可以参考。 如检测网站安全漏洞的亿思平台(h ttp://w ww.iiscan.com),可以帮你找出网站存在的安全隐患,是个在线工具也是目前使用者比较多的一个站长安全工具。 还有老牌安全公司360出的网站木马检测(h ttp://jc.360.cn),但个人认为其准确度不高; 所以建议跟瑞星联盟(h ttp://union.rising.com.cn)的那个木马监控一些使用。 如果发现木马,就应该及时清理,而且要经常进行漏洞扫描,将网站漏洞及时找出来。当然,这只是一些辅助工具,更关键在于管理上的安全设置。 第一,帐号和密码设置: 由于很多站长选择了这织梦这类的建站程序,而这程序的默认设置的很容易被黑可们破解的,故必须要更改帐号和设置复杂的密码。不要设置一些有规律的密码串,毕竟现在的字典越来越厉害。 第二,限制后台登录IP: 给后台设定几个固定的登录IP,其他IP一概限制,虽然这样会带来不便,但这样可以有效防止黑客登录后台。 第三,创建一个robots.txt: Robots能够有效的防范利用搜索引擎窃取信息的骇客。 第四,目录权限: 请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。 第五,谨慎上传漏洞 据我所知上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。 可以禁止上传或着限制上传的文件类型。 第六,网站备份 隔一段时间就进行网站的备份,可以有效地减少黑客入侵所带来的损失,当然,在备份前,要先去瑞星,亿思这些检测工具里面检测一下网站的安全性,免得备份一个有木马或漏洞的备份。 以上是个人的小小的网站安全见解,希望对大家有帮助啦。记得,回帖是人类迈向文明起步。