網站安全維護的內容:
1.密碼安全
虛擬主機和域名控制面板上的FTP賬號,密碼以及網站管理員密碼不要使用同一個;不要用純數字密碼;不要用有關自己信息的密碼;更不能使用管理員默認密碼。一定要設置一個強度高的密碼,盡量多使用特殊字符。由于大多數網站系統使用MD5算法加密密碼,所以確定安全的最好辦法是把密碼加密后的MD5值去黑客們常去破解MD5的網站試一試,如果不能被破解,在一定程度上說明密碼是安全的。
2.網站設置安全
為了網站的安全,最好將網站后臺的一些設置做一些調整。有些提供上傳功能的網站,為了安全起見最好取消上傳功能。如果要保留的話,最好設置為GIF、JPG、PNG、ZIP、RAR等格式文件的上傳,限制用戶一天上傳的文件大小即可。如果是可以生成HTML頁面的系統最后生成HTML,盡量避免使用ASP等動態(tài)頁面。在設置管理員時不要將數據庫操作和網站配制等板塊的權限劃分給其他管理員,除非了很值得信任。如果發(fā)現會員填寫的記錄中有〈%-%〉、〈SCRIPT〉等符號,一定要清除它。
3.修改腳本
版權信息:修改掉程序版權信息可以杜絕黑客靠觀察網站程序的版權信息來獲取當前網站系統的版本,并通過搜索引擎來獲取有利于個人入侵的信息。
目錄安全:在每一個目錄里確保都含有INDEX.HTML文件,如果沒有就新建一個不含有任何內容的INDEX.HTML文件,這樣可以防范服務器IIS設置不嚴而出現的目錄瀏覽。Windows 2003中的IIS還有一個很嚴重的漏洞:如果有一個文件夾名為FILES.ASP,那么該文件夾下的所有文件,均可以被asp.dll解釋并執(zhí)行。如果惡意者設法構造了那么一個文件夾,上傳一個擴展名為rar的asp木馬,那么在惡意者訪問這個上傳后的rar文件時就運行了asp木馬。所以站長在檢查網站時也應注意是否存在這樣命名的文件夾。
安全改進:將后臺的數據庫備份、數據庫恢復和執(zhí)行SQL語句的相關功能頁面刪除,最好也將注冊條約等管理頁面的相關頁面刪除。這樣做雖然對網站管理造成一定的不便,但是黑客可以通過幾項功能獲得WEBLLSHELL,從而任意增刪、修改數據庫中的內容,日常的數據庫備份最后還是用FTP登錄,然后備份到本地來更為安全和節(jié)省空間。
4.數據庫安全(只針對Access)
數據庫對網站來說是重中之重,會員信息、管理員信息全在里面,所以說主要從數據庫的防下載處及防暴庫入手。
防暴庫處理:網站腳本系統一般都會有一個數據庫鏈接文件,而如果沒有容錯語句“On Error Resume Next”,就可能會產生網站數據庫被暴出物理路徑的危險,所以檢查一下Conn.asp或mdb.asp等數據庫鏈接文件中有沒有容錯語句,如果沒有就在出現數據庫物理路徑的腳本語句之前加入即可。
對數據庫比較重要的一點就是防下載處理,這里提供兩種方法:(1)更改系統默認數據庫路徑、數據庫名并在其中加入#、*、%等字符;(2)用Access打開數據庫,新建一個表,命名為<%asdfg%>(<%-%>之間可以加任何的數值,只要不是正確的ASP語句即可),添加記錄同樣也是用這個,關閉數據庫后將文件擴展名改為asp或asa即可防下載的目的。
5.后臺安全
網站的后臺管理登錄頁面是管理員登錄進行管理網站的地方,黑客往往通過簡單的工具就可以查到后臺的路徑。
不能讓那些不懷好意的人知道管理員從哪里登錄后臺,就算讓黑客知道了管理員的用戶名和密碼也不知道從哪里登錄。在這里只需要修改后臺的Admin文件夾名或后臺登錄頁面如admin_login.asp等文件名,然后在其余文件中查找原來路徑并替換成新路徑即可。修改后臺頁面標題信息,這樣黑客就不能通過Google等搜索引擎來查詢后臺地址。
建站知識
網站資訊動態(tài),網站建設知識,網站優(yōu)化SEO,營銷型網站建設,手機網站建設,搜索引擎營銷,常見問題解答,外貿網站建設等相關知識與動態(tài)。