您当前所在位置:首页 > 建站资讯 > 最新资讯动态 > 正文

网站建设中,网站安全维护的内容要注意些什么?

2016-08-08 4857 次 最新资讯动态 些什么 网站 要注意 维护 内容
网站安全维护的内容: 1.密码安全 虚拟主机和域名控制面板上的FTP账号,密码以及网站管理员密码不要使用同一个;不要用纯数字密码;不要用有关自己信息的密码;更不能使用管理员默认密码。一定要设置一个强度高的密码,尽量多使用特殊字符。由于大多
网站安全维护的内容:
1.密码安全
虚拟主机和域名控制面板上的FTP账号,密码以及网站管理员密码不要使用同一个;不要用纯数字密码;不要用有关自己信息的密码;更不能使用管理员默认密码。一定要设置一个强度高的密码,尽量多使用特殊字符。由于大多数网站系统使用MD5算法加密密码,所以确定安全的最好办法是把密码加密后的MD5值去黑客们常去破解MD5的网站试一试,如果不能被破解,在一定程度上说明密码是安全的。
2.网站设置安全
为了网站的安全,最好将网站后台的一些设置做一些调整。有些提供上传功能的网站,为了安全起见最好取消上传功能。如果要保留的话,最好设置为GIF、JPG、PNG、ZIP、RAR等格式文件的上传,限制用户一天上传的文件大小即可。如果是可以生成HTML页面的系统最后生成HTML,尽量避免使用ASP等动态页面。在设置管理员时不要将数据库操作和网站配制等板块的权限划分给其他管理员,除非了很值得信任。如果发现会员填写的记录中有〈%-%〉、〈SCRIPT〉等符号,一定要清除它。
3.修改脚本
版权信息:修改掉程序版权信息可以杜绝黑客靠观察网站程序的版权信息来获取当前网站系统的版本,并通过搜索引擎来获取有利于个人入侵的信息。
目录安全:在每一个目录里确保都含有INDEX.HTML文件,如果没有就新建一个不含有任何内容的INDEX.HTML文件,这样可以防范服务器IIS设置不严而出现的目录浏览。Windows 2003中的IIS还有一个很严重的漏洞:如果有一个文件夹名为FILES.ASP,那么该文件夹下的所有文件,均可以被asp.dll解释并执行。如果恶意者设法构造了那么一个文件夹,上传一个扩展名为rar的asp木马,那么在恶意者访问这个上传后的rar文件时就运行了asp木马。所以站长在检查网站时也应注意是否存在这样命名的文件夹。
安全改进:将后台的数据库备份、数据库恢复和执行SQL语句的相关功能页面删除,最好也将注册条约等管理页面的相关页面删除。这样做虽然对网站管理造成一定的不便,但是黑客可以通过几项功能获得WEBLLSHELL,从而任意增删、修改数据库中的内容,日常的数据库备份最后还是用FTP登录,然后备份到本地来更为安全和节省空间。
4.数据库安全(只针对Access)
数据库对网站来说是重中之重,会员信息、管理员信息全在里面,所以说主要从数据库的防下载处及防暴库入手。
防暴库处理:网站脚本系统一般都会有一个数据库链接文件,而如果没有容错语句“On Error Resume Next”,就可能会产生网站数据库被暴出物理路径的危险,所以检查一下Conn.asp或mdb.asp等数据库链接文件中有没有容错语句,如果没有就在出现数据库物理路径的脚本语句之前加入即可。
对数据库比较重要的一点就是防下载处理,这里提供两种方法:(1)更改系统默认数据库路径、数据库名并在其中加入#、*、%等字符;(2)用Access打开数据库,新建一个表,命名为<%asdfg%>(<%-%>之间可以加任何的数值,只要不是正确的ASP语句即可),添加记录同样也是用这个,关闭数据库后将文件扩展名改为asp或asa即可防下载的目的。
5.后台安全
网站的后台管理登录页面是管理员登录进行管理网站的地方,黑客往往通过简单的工具就可以查到后台的路径。
不能让那些不怀好意的人知道管理员从哪里登录后台,就算让黑客知道了管理员的用户名和密码也不知道从哪里登录。在这里只需要修改后台的Admin文件夹名或后台登录页面如admin_login.asp等文件名,然后在其余文件中查找原来路径并替换成新路径即可。修改后台页面标题信息,这样黑客就不能通过Google等搜索引擎来查询后台地址。