第一:网站要使用安全的网站源码
许多网站被攻击,最明显的表现就是使用的源码有漏洞,有人就是利用你源码的漏洞给添加了一些恶意代码,上传程序的。所以,大家做网站的时候,最好使用一些有名的程序,像织梦,discuz,wordpress等程序。对于其他一些免费下载的也要注意了,这些免费的有可能就已经被人添加了恶意代码。
第二:网站登录页面需加密
为了避免网站安全问题的产生,可以在登录之后实施加密,常用的加密方式有数据库加密和MD5加密。如果没有加密登录会话,当登录会话被传送到一个加密的 资源,还是有可被黑客恶意攻击。黑客们可能会伪造一个登录表单,以此来访问同样的资源,黑客也有可能会获得访问敏感数据的权限。所以对登录页面必须采取加 密行为。
第三:不要把自己的盈利站到处晒
网络很真实,网络也很虚伪。对于大多数的站长朋友来说,安全意识比较薄弱,很多朋友喜欢晒自己的网站收入。在利益的的驱使下,总有那么几个人会对你的网站有兴趣。出现仿站、出现网站攻击是常有的事。今天的例子就很明显了,因为网站在盈利,通过和别人的技术交流,最终被原版复制。我们根本不知道别人的心态,所以如果是盈利的站,千万不要盲目的到处晒。
第四:做好网站数据库安全设置
目前,对于小型网站来说,最通用的数据库是access,数据库中存在这很多的敏感信息,需要管理员注意的事情,如:后台密码、客户数据等,而这些会成为不法份子谋取暴利的目标,access后缀为.mdb在浏览器下是可以直接被下载的,所以建议管理员对数据库进行一次安全设置,防止数据库被下载,引起后台管理员泄漏,引起网站安全问题。
第五:做好网站robots设置安全
Robots的设置一般是比较纠结的一个问题,如果设置,就会暴露后台管理地址,会给网站安全留下隐患,但是有利于搜索引擎的抓取,在这里给网站管理员一些建议,建议后台不要使用login.asp login.jsp等 通用登录名称,可以设置复杂一点的文件名称。同时设置验证码机制,防止暴力破解。
第六:运用冗余性保护网站
为了帮助网站维持最长的正常运行时间,可以采用冗余性(备份和服务器的失效转移)来保护网站。备份可以帮助避免客户端数据的丢失,而备份服务器可以避免服务器遭到彻底毁灭时不用从头开始构建新的服务器。
第七:使用360网站卫士为网站保驾护航
“360网站卫士”是360公司为中小企业网站、中小电商网站、政府科研机构网站及培训教育类等网站量身打造的安全防护平台,主要功能包括Web应用防火墙、防DDOS攻击、CC保护、智能DNS解析、DNS攻击防御、缓存加速、盗链保护、统计报表查询、页面压缩和永久在线等。
目前,360网站卫士网站提供的“Web应用防火墙”具备防跨站、防注入、防篡改,防挂马,防黑客攻击的功能,让用户网站固若金汤;“DDOS保护”可帮用户抵御360安全中心所能检测到的所有恶意攻击,脱离DDOS的困扰;专业的“防CC”功能,让网站从此摆脱CC攻击。
另外,需要注意的是,一般备案过的网站才能够使用360安全卫士的加速(国家政策所致,没有办法)以及其他服务,如果没有备案目前只提供了高仿dns防护服务。
鲁公网安备 37021402001407号