新手站长网站安全须知
网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。由于一个网站设计者更多地考虑满足用户应用,如何实现业务。
很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。
攻击手段主要是利用Web服务器的漏洞攻击和网页漏洞攻击。
对于新手站长来说尤其要重视这个问题,对于这个问题本人在建设疯狂比分网时,由于不重视为些付出了惨重的代价,希望新手们能尽量避免出现这种情况。
一、网站的潜在风险主要有以下几种
网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击。
目前,网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1、网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等。
2、网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等。
3、WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致网站被入侵的问题。
4、WEB应用服务权限设置导致系统被入侵的问题。
5、WEB服务器系统和应用服务的补丁未升级导致网站可能被入侵的安全问题等。
二、网站安全防护解决方案
根据目前网站可能存在的安全隐患及风险,提出如下几个安全防护解决方案:
1、免费DDOS解决方案
通过优化Windows 2003或者Windows 2008系统的注册表,可有效对抗每秒约1万个左右的SYN攻击,方法是把以下文本内容存盘为antiddos.reg然后导入注册表并重新启动即可。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
此方案的优点是:采用系统自身的能力来解决问题,而无需任何花费;缺点是:只能抵御每秒少于10000的SYN攻击,并且无法解决TCP多连接攻击。
2、网站安全检测
1)、进行网站安全漏洞扫描
由于现在很多网站都存在sql注入漏洞,上传漏洞等等漏洞,而黑客通过就可以通过网站这些漏洞,进行SQL注入进行攻击,通过上传漏洞进行木马上传等等。所以网站安全检测很重要一步就是网站的漏洞检测。
扫描完后就可以查看网站所存在的漏洞和存在的网页,可以根据报告里面的建议进行漏洞修补,但请注意,在修改网页代码之前要先做好备份工作。
说明:对于发现的网站漏洞要及时修补。
2)、网站木马的检测
网站被挂马是非常普遍的事情,同时也是最头疼的一件事。所以网站安全检测中,网站是否被挂马是很重要的一个指标。
其实最简单的检测网站是否有挂马的行为,很简单,直接开个杀毒软件扫描,看看有没有挂马提示就可以啦。当然还有直接去这些杀毒软件建立的网站安全中心,直接提交URL进行木马检测。
说明:网站被挂马是严重影响网站的信誉的,如有被挂马,请速度暂时关闭网站,及时清理木马或木马链接的页面地址。
3)、网站环境的检测
网站环境包括网站所在服务器的安全环境和维护网站者的工作环境的安全
很多黑客入侵网站是由于攻击服务器,窃取用户资料。所以在选择服务器时要选择一个有保证的服务商,而且稳定服务器对网站的优化和seo也很有帮助的。
而站长或维护着所处的环境也非常重要,如果本身系统就存在木马,那么盗取帐号就变得很简单了。故要保持系统的安全,可以装瑞星,卡巴这些杀毒软件,还有就是帐号和密码要设置复杂一些。
4)、其它检测
黑链检测,由于现在黑链的利润很高,故现在更多黑客入侵网站目的就是为挂链接,而被挂黑链会严重影响SEO的优化。
具体检测方法:
可以利用站长工具网里面工具中的“死链接就爱内测/全站PR查询”的选项,
将检测网站分析栏,选择“站外链接”,按“显示链接”按钮,就会列出一堆站外链接,在里面可以查看有那些链接是PR比较低而且又比较陌生的链接就可能是黑链,将黑链删除就可以。
5)、FTP密码尽量设置得复杂点,密码里面最好包含大写和小写的英文字母和数字以及特殊字符(如c7b64¥8f63ce687&),这样黑客用弱口令扫描工具就扫描不到你的FTP用户名和密码了。
6)、网站后台不要用默认路径和管理员账号及密码,现在网络上有很多通过默认路径猜解后台帐号密码的工具,如果不修改默认路径和管理员账号和密码,一些怀有不良企图的人很容易猜解到你网站后台账号和密码进入你网站的后台进行非法操作,也就给你网站安全留下了一个隐患,所有务必及时修改网站后台默认路径及管理员账号和密码。
7)、更改网站数据库名,文件名也可以多几个特殊符号。
8)、网站的注入和跨站漏洞也是黑客经常利用的漏洞。检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就马上打上防注入或防跨站补丁,使黑客无可乘之机。
9)、设置好网站各个文件夹的读写权限。
简化一些不必要的程序,对一些不必要的功能,如上传等做严格的限制,用工具检查自己网站方面是否存在注入,暴库漏洞等。
10)、默认的数据库路径。
现在很多黑客很喜欢做的一件事情就是从默认的数据库地址下数据库来得到网站管理员的帐号密码,尤其是针对论坛。知道了帐号密码就等于拿到了整个论坛的管理权限。其实现在很多站长都有一个误解,以为把数据库后缀改成ASP就行了,但是知道了路径的情况下用下载软件把保存文件后缀改成MDB也是可以下载的。
防护方法:
修改默认的路径,越复杂越好,对数据库进行防下载设置。
11)、默认后台。
现在很多access数据库注入漏洞都是能暴出你的后台帐号和密码的。黑客用拿到的帐号密码输入默认后台地址就很容易就拿到你的网站权限了,从入侵到拿到权限不要3分钟。
防护办法:修改默认后台!就算现在人家利用最新的漏洞暴出了你的帐号密码但是没有后台,他拿了也只能干瞪眼。
12)、弱口令。
弱口令是指你的帐号密码重复或是有很明显的规律,如QQ号码、生日、电话号码、默认的系统自带的原始密码等等!现在我们做网站一般都会在站上留一个联系方式,如电话或qq等,方便广告主联系以及别人对你网站提意见,但是这些都会被黑客所利用到。黑客跟你搭话后,从你的谈话种获取有用的资料。比如身份证号码、支付宝密码、银行密码、邮箱密码、qq密码等等。还有设置的后台管理密码一定要复杂,现在的密码很多都是用MD5或是别的加密的,如果别人在用别的方法得到了你的数据库,但是你的密码复杂的话对方也没办法解密的。
防护办法:设置一些自己能记住但是没什么很多规律的密码,对重要密码要特别设置,不要图方便所有的网上帐号密码都一样,这样一个密码的泄露就有可能导致整个网上信息的泄露。设置复杂的密码,最好是在9位以上,英文字母和数字搭配使用。
13)、IDC问题。
现在个人站长的安全意识越来越高但是自己的网站安全防护措施做的很到位为什么还是会被黑呢?这里就涉及到了IDC管理员的问题。很多站长朋友贪图小便宜认为小的空间商空间速度不错,价格便宜所以都选择了小空间商。但是你要知道也许正是你贪图小便宜的心理会让你的网站和心血全是都付之东流。现在很多黑客对定点入侵网站都选择了旁注的方法,也就是说比如他想入侵你的网站,但是你的网站配置相当安全的情况下,那黑客就会转移目标去入侵和你同一服务器的网站,然后通过别的网站拿下的后门进行目录的跳转或是提升权限来达到控制整个服务器的的目的。那时候你的安全想对服务器权限来说没什么可言了。
服务器管理员的问题还有服务器的软件配置问题,安装了第三方软件,如:Serv-U,FTPflash,VPN,pcanywhere等等。安装了这些软件的服务器很容易被提升权限,从而达到得到服务器的权限的目的。还有就是没安装防ARP软件。因为机房的一台服务器的沦陷导致整个机房的沦陷,被别人ARP挂马或是arp宿探等等,这样我们的网站就会被插入恶意代码,FTP密码就会被黑客所截取。
14)、服务器的硬件配置问题。
当你的网站在网上取得了一定的成绩的时候,别人可能就会跟你竞争或眼红,于是为了跟你争排名。最常做的就是对你的网站进行ddos,也就是拒绝服务攻击。如果你的网站配置不高,没有硬件防火墙,那别人用几只或是几十只肉鸡就可以轻易把你的网站D死,让网站长时间的无法访问,从而导致搜索引擎对你进行降权或是K站。很多大型的网站曾经都遭到过大型的拒绝服务攻击。
防护办法:找一个好的IDC运营商,问清楚他们的服务器配置,不要贪图小便宜,要知道一分钱一分货。
15)、个人电脑安全问题。
如果个人电脑的安全没做好,种了远程控制木马的话那说什么都没用了。对方可以很清楚的记录你的所有帐号密码,对他而言你在网上没有任何秘密可言。
以上为我个人的一些经验之谈,希望能对大家有所帮助,不足之处敬请谅解。