摘要: 360最新发布的《2013中国高校网站安全检测报告》称,中国每个高校网站平均每天被黑客攻击113次(包含扫描等行为),其中被攻击最多的网站最高可达每日上万次。据了解,这份报告数据
360最新发布的《2013中国高校网站安全检测报告》称,中国每个高校网站平均每天被黑客攻击113次(包含扫描等行为),其中被攻击最多的网站最高可达每日上万次。据了解,这份报告数据样本来自2013年1月1日至2013年5月30日360网站安全检测和360网站卫士产品数据库中的高校网站安全数据,共涉及全国30个省级行政区约5万个高校网站。
现如今,以上面高校网站被黑为例,网站被黑客攻击和入侵已经不是新鲜事情了,小到县级政府网站,大到国家网站都是常常被入侵。但是此类政府网站被攻击入侵都是黑客花了高代价换来的成果,但是现在更多的企业网站是犯了低级失误,导致网站被挂码,被入侵,或者打不开。下面由深网网络教大家如何让网站更难被入侵。
三大影响网站安全性问题
一、网站程序问题
网站程序是个大问题,如果程序选择的不对,被入侵的机会非常大。很多网站都是下载一些免费开源的源码来做网站的,此类型网站有2种情况。
(1)下载一个毫无知名度的免费源码,此类的免费源码被入侵的可能性超过百分之99,因为免费,使用者少,开发者更不会去完善漏洞,更不会去升级,导致此类网站逐渐的会出现漏洞,所以,即使大家要选择开源免费的程序,一定要选择知名度比较高的。
(2)下载知名的建站CMS,如:DEDECMS PHPWING 动易CMS ECSHOP 等免费程序,此类程序使用者比较多,开发者也会经常更新漏洞以及升级,但是同样的,因为使用者比较多,黑客更喜欢寻找此类型网站的漏洞来进行挂马,所以,此类型网站需要及时的更新漏洞以及升级,还要根据安全提示去更改文件夹权限。
二 、网站的空间/服务器
很多网站都是购买比较便宜的空间,此类网站的安全性能最差,如果卖空间的人盈利很低,更何谈帮你维护服务器安全性能。更不谈什么稳定性,所以很容易就被入侵,如果购买的是独立服务器或VPS,应该要配一个专业的技术维护人员,要配置服务器的安全,设置服务器文件的权限,如果网站主没办法聘请专业人员,更应该外包给技术人员,因为一个文件夹权限错误都可能导致整个服务器瘫痪而被入侵。
三、后台路径以及账号密码
笔者今天就帮客户维护一个网站,他的后台路径是/ADMIN 账号是admin 密码是admin123,此类网站如果不被入侵,那都是奇怪的事情了。即使网站程序和网站空间配置的多么好,后台的路径更不应该是大众式的后台路径,账号和密码也是最通用的,如果黑客用服务器进行扫或尝试登陆后台,很容易就让他们得逞,入侵都是轻而易举的事情了。所以大家后台路径要设置好,账号尽量不要用admin,密码也不要用常用的。尽量有大小写字母的组合!
下面补充其他可以提高安全性能的知识
1. 防拷贝:
当您在浏览银行的网银时,您经常会发觉您没办法在银行网银的界面里面使用鼠标右键.这样可以阻止客户端通过右键常看网站的源代码,这样可以有效的防范网站客户端代码(如:HTML,Js,Css,Img)被拷贝等。
2. 对用户输入的内容进行过滤:
大部分的网站安全问题都是客户端通过文本输入框输入的。
网站服务端需对客户端输入的内容进行过滤,如:把客户端输入的等代码过滤掉。这样会相对有效的防范客户端的 注入式攻击和XSS攻击等。
3. 使用参数化查询:
有时候对客户端输入的内容进行匹配还不足以防范Sql注入,而使用参数化查询可从根源上杜绝Sql注入。
4. 使用URL伪静态:
网站的网址中经常带有参数,动态的参数往往会暴露了网页之间的传参关系,增加了不安全性。假设把动态的参数重写为伪静态的,可隐藏动态的参数,从而提高了网站的安全性。
5.使用验证码:
在论坛注册登录或者评论,在管理员登录的页面,经常需输入验证码之后才能继续下一步操作。验证码的原理很简单,就是在服务器生成一段Session储存验证码中生成的图片中的文字,而验证码的图片文字经常是通过扭曲渐变等字符串。安全且复杂的验证码使用可以有效的防范论坛的注册机,发贴机还有一些密码暴力破解器等对网站有危害的工具。
6. 系统记录日志:
包括服务器日志和Sql日志等,网站管理员可以通过日志中记录的内容查看客户端在访问当前网站的行为,发现有一些破坏性的行为,可进行下一步操作。
7. 对用户的ip进行过滤:
这种方式可以过滤掉一些不友好的访客的ip地址,有效的阻止了拒绝服务攻击等。
8. 使用安全加密技术:
用户或者是管理员在注册登录的时候,服务器会对用户或者是管理员的密码进行加密,就是把明文的密码加密成一串加密字符串,通过不安全的网络传输到数据库服务器上进行储存或者匹配等。常用的加密技术有 Md5加密, SSL加密等。