又是一个下雨的周未,宅在家里对着电脑给自己大脑充充电,比较关注seozac这个博客,很多文章写得给人感觉一针见血,这个站的实力如何呢?在百度里直接搜SEO,首页就有他的排名,所以实力方面就不多说了。但就是这么一个牛X的站点,站点页面也被黑掉了,不过这个黑客比较客气,没有改变任何视觉上的效果,但如果你翻看这个博客下一页的时候,问题就出来了:
前几天还刚刚看了篇文章,关于SEOWHY被黑的,这些站点都是采用很成熟的程序开发的,但依旧被黑,大部分程序员都是在网络公司就职,何况我们自己平时做的企业站。我自己做的一些站,就有过被黑的无奈,所以细想起来,还是很担心,从自身经历给出以下几点建议供大家参考:
1:程序语言选择上,如果成本能接受,技术也OK,尽可能不要选择ASP语言,相对而言,PHP、.NET等语言的安全性都是高于ASP的。
2:关闭网站的目录浏览功能,否则容易暴露你网站某个目录下的文件,这些文件可能让恶意的人有可乘之机。
3:后台链接入口,不要写在页面上,也尽量不要用admin、manage等这些容易被人猜到的后台目录名称。
4:后台密码方面,我认识一些程序员朋友,站点交付给客户使用的时候,后台帐号都是admin,密码也是admin或者123456之类的,我们避免掉这种情况。
5:如果你有服务器的管理权限,要定期分析服务器的日志文件(这个很重要,不要忽视),我之前一台服务器在到期前一天,密码被破解,服务器被黑了,后来查看日志的时候才发现有个黑客利用软件在不断穷举我的服务器密码。。。。。。
6:经常修改服务器密码(字母+数字+一些符号)
7:如果你的站点是用开源程序做的,也要经常关注下这个开源程序的官网网站,是否有新的补丁出来,要及时更新。
8:最后一点,我感觉就是备份了,就算我们自认为已经做的无懈可击了,但你做的安全性永远不是绝对的,引用国外一位顶尖黑客的话说:给我一根网线和一台电脑,我能搞定五角大楼!
所以及时的备份是至关重要的。
对了,还得罗嗦一句,如果你是用ASP开发的,那么后台的登陆程序里,记得加上
pwd=Replace(Replace(request.form("密码"),"'",""),"or","")
uid=replace(request.form("帐号"),"<>"," ")
为什么呢?因为有个所谓的万能密码,上面的语句能过滤掉这种情况。总之,不要等到网站被黑了才重视安全性。
【尊重原创,分享观点。来自芝麻开门网络科技原创文章,转载请标明文章来源 — http://www.51zmkm.com/news/20.html】