不久前，360最新發(fā)布的《2013中國(guó)高校網(wǎng)站安全檢測(cè)報(bào)告》稱，中國(guó)每個(gè)高校網(wǎng)站平均每天被黑客攻擊113次(包含掃描等行為)，其中被攻擊最多的網(wǎng)站最高可達(dá)每日上萬(wàn)次。據(jù)了解，這份報(bào)告數(shù)據(jù)樣本來自2013年1月1日至2013年5月30日360網(wǎng)站安全檢測(cè)和360網(wǎng)站衛(wèi)士產(chǎn)品數(shù)據(jù)庫(kù)中的高校網(wǎng)站安全數(shù)據(jù)，共涉及全國(guó)30個(gè)省級(jí)行政區(qū)約5萬(wàn)個(gè)高校網(wǎng)站。

現(xiàn)如今，以上面高校網(wǎng)站被黑為例，網(wǎng)站被黑客攻擊和入侵已經(jīng)不是新鮮事情了，小到縣級(jí)政府網(wǎng)站，大到國(guó)家網(wǎng)站都是常常被入侵。但是此類政府網(wǎng)站被攻擊入侵都是黑客花了高代價(jià)換來的成果，但是現(xiàn)在更多的企業(yè)網(wǎng)站是犯了低級(jí)失誤，導(dǎo)致網(wǎng)站被掛碼，被入侵，或者打不開。下面由深網(wǎng)網(wǎng)絡(luò)教大家如何讓網(wǎng)站更難被入侵。

三大影響網(wǎng)站安全性問題

一、網(wǎng)站程序問題

網(wǎng)站程序是個(gè)大問題，如果程序選擇的不對(duì)，被入侵的機(jī)會(huì)非常大。很多網(wǎng)站都是下載一些免費(fèi)開源的源碼來做網(wǎng)站的，此類型網(wǎng)站有2種情況。

(1)下載一個(gè)毫無知名度的免費(fèi)源碼，此類的免費(fèi)源碼被入侵的可能性超過百分之99，因?yàn)槊赓M(fèi)，使用者少，開發(fā)者更不會(huì)去完善漏洞，更不會(huì)去升級(jí)，導(dǎo)致此類網(wǎng)站逐漸的會(huì)出現(xiàn)漏洞，所以，即使大家要選擇開源免費(fèi)的程序，一定要選擇知名度比較高的。

(2)下載知名的建站CMS，如：DEDECMS PHPW ING 動(dòng) 易 CMS ECSHOP等免費(fèi)程序，此類程序使用者比較多，開發(fā)者也會(huì)經(jīng)常更新漏洞以及升級(jí)，但是同樣的，因?yàn)槭褂谜弑容^多，黑客更喜歡尋找此類型網(wǎng)站的漏洞來進(jìn)行掛馬，所以，此類型網(wǎng)站需要及時(shí)的更新漏洞以及升級(jí)，還要根據(jù)安全提示去更改文件夾權(quán)限。

二、網(wǎng)站的空間/服務(wù)器

很多網(wǎng)站都是購(gòu)買比較便宜的空間，此類網(wǎng)站的安全性能最差，如果賣空間的人盈利很低，更何談幫你維護(hù)服務(wù)器安全性能。更不談什么穩(wěn)定性，所以很容易就被入侵，如果購(gòu)買的是獨(dú)立服務(wù)器或VPS，應(yīng)該要配一個(gè)專業(yè)的技術(shù)維護(hù)人員，要配置服務(wù)器的安全，設(shè)置服務(wù)器文件的權(quán)限，如果網(wǎng)站主沒辦法聘請(qǐng)專業(yè)人員，更應(yīng)該外包給技術(shù)人員，因?yàn)橐粋€(gè)文件夾權(quán)限錯(cuò)誤都可能導(dǎo)致整個(gè)服務(wù)器癱瘓而被入侵。

三、后臺(tái)路徑以及賬號(hào)密碼

筆者今天就幫客戶維護(hù)一個(gè)網(wǎng)站，他的后臺(tái)路徑是/ADM IN 賬號(hào)是adm in密碼是adm in123，此類網(wǎng)站如果不被入侵，那都是奇怪的事情了。即使網(wǎng)站程序和網(wǎng)站空間配置的多么好，后臺(tái)的路徑更不應(yīng)該是大眾式的后臺(tái)路徑，賬號(hào)和密碼也是最通用的，如果黑客用服務(wù)器進(jìn)行掃或嘗試登陸后臺(tái)，很容易就讓他們得逞，入侵都是輕而易舉的事情了。所以大家后臺(tái)路徑要設(shè)置好，賬號(hào)盡量不要用adm in，密碼也不要用常用的。盡量有大小寫字母的組合!

下面補(bǔ)充其他可以提高安全性能的知識(shí)：

1.防拷貝

當(dāng)您在瀏覽銀行的網(wǎng)銀時(shí),您經(jīng)常會(huì)發(fā)覺您沒辦法在銀行網(wǎng)銀的界面里面使用鼠標(biāo)右鍵.這樣可以阻止客戶端通過右鍵?？淳W(wǎng)站的源代碼，這樣可以有效的防范網(wǎng)站客戶端代碼 (如HTML，Js，Css，Img)被拷貝等。

2.對(duì)用戶輸入的內(nèi)容進(jìn)行過濾

大部分的網(wǎng)站安全問題都是客戶端通過文本輸入框輸入的。

網(wǎng)站服務(wù)端需對(duì)客戶端輸入的內(nèi)容進(jìn)行過濾，如把客戶端輸入的等代碼過濾掉。這樣會(huì)相對(duì)有效的防范客戶端的注入式攻擊和XSS攻擊等。

3.使用參數(shù)化查詢

有時(shí)候?qū)蛻舳溯斎氲膬?nèi)容進(jìn)行匹配還不足以防范Sql注入，而使用參數(shù)化查詢可從根源上杜絕Sql注入。

4.使用URL偽靜態(tài)

網(wǎng)站的網(wǎng)址中經(jīng)常帶有參數(shù)，動(dòng)態(tài)的參數(shù)往往會(huì)暴露了網(wǎng)頁(yè)之間的傳參關(guān)系，增加了不安全性。假設(shè)把動(dòng)態(tài)的參數(shù)重寫為偽靜態(tài)的，可隱藏動(dòng)態(tài)的參數(shù)，從而提高了網(wǎng)站的安全性。

5.使用驗(yàn)證碼

在論壇注冊(cè)登錄或者評(píng)論，在管理員登錄的頁(yè)面，經(jīng)常需輸入驗(yàn)證碼之后才能繼續(xù)下一步操作。驗(yàn)證碼的原理很簡(jiǎn)單，就是在服務(wù)器生成一段Session儲(chǔ)存驗(yàn)證碼中生成的圖片中的文字，而驗(yàn)證碼的圖片文字經(jīng)常是通過扭曲漸變等字符串。安全且復(fù)雜的驗(yàn)證碼使用可以有效的防范論壇的注冊(cè)機(jī)，發(fā)貼機(jī)還有一些密碼暴力破解器等對(duì)網(wǎng)站有危害的工具。

6.系統(tǒng)記錄日志

包括服務(wù)器日志和Sql日志等，網(wǎng)站管理員可以通過日志中記錄的內(nèi)容查看客戶端在訪問當(dāng)前網(wǎng)站的行為，發(fā)現(xiàn)有一些破壞性的行為，可進(jìn)行下一步操作。

7.對(duì)用戶的ip進(jìn)行過濾

這種方式可以過濾掉一些不友好的訪客的ip地址，有效的阻止了拒絕服務(wù)攻擊等。

8.使用安全加密技術(shù)

用戶或者是管理員在注冊(cè)登錄的時(shí)候，服務(wù)器會(huì)對(duì)用戶或者是管理員的密碼進(jìn)行加密，就是把明文的密碼加密成一串加密字符串，通過不安全的網(wǎng)絡(luò)傳輸?shù)綌?shù)據(jù)庫(kù)服務(wù)器上進(jìn)行儲(chǔ)存或者匹配等。常用的加密技術(shù)有 M d5加密，SSL加密等。

總結(jié)：當(dāng)前互聯(lián)網(wǎng)發(fā)展迅速，網(wǎng)絡(luò)安全成為了令人關(guān)注的問題，網(wǎng)站主更應(yīng)該提高網(wǎng)站安全意識(shí)，為構(gòu)建綠色互聯(lián)網(wǎng)出把力。