提高网站安全的十个技巧
目前很多人建站都是直接从网络上下载网站源码来做的,而大部分源码漏洞百出,有的甚至程序留有后门,用户用了一段时间可能被挂马,资料被窃取等等,所以建议大家做好以下几点:
(1)尽量下载那些相对有名的网站系统、比如PageAdmin系统、discuz系统、帝国系统、shopex系统这些,这些系统有专业的技术团队和安全检测流程,比那些名不见经转,甚至很多源码下载下来都不知道是哪个公司开发的,这样的源码风险很大,千万不用轻易使用。
(2)尽量不采用无组件上传,使用其他组件上传方式(比如Fileup或LyfUpload),部分无组件上传带有严重漏洞,一般可通过修改upfile.asp文件选择上传方式。
(3)经常访问网站系统的官方网站,关注程序安全漏洞和更新版本,及时给自己程序升级或打上补丁。同时也可以到亿思网站安全检测平台里进行网站安全的评估和漏洞扫描,具体可以到http://www.iiscan.com,还有就是亿思有个“监控管理”模块,可以自定设时间,这对没时间去关注和更新无疑提供更好的选择!
(4)尽量不采用修改版和插件版的程序,因为修改后的程序会使漏洞更多,而且补丁也不一定完全适用。
(5)设置相对复杂的FTP密码和网站管理密码并经常修改,同时考虑修改网站后台管理的文件名称。
(6)经常检查网站内文件或通过亿思等平台进行安检,发现可疑文件后及时处理,并分析可能的原因。
(7)对于SQL数据库,您可以用企业管理器连接,然后把重要数据表设置为只读权限,如动网的DV_Admin表修改为只读以后,可以防止任何方式添加管理员。
(8)二次开发时切记做好对特殊符号的过虑,防止注入漏洞,具体也可以到亿思平台里面扫描。
(9)经常备份自己的网站数据,因为网站安全的第一要求就是备份,防止被黑以后数据丢失。
(10)如果有服务器管理权限建议把论坛上传图片目录设置权限最低。
页:
[1]