谈谈网站安全性的问题

简介:

   刚入职没多长时间,网站一直有人上传木马,基本网站一直处在被人攻击的状态,纠结阿。一直忙着解决这问题了。今天好不容易有些成就,就拿出来和大家分享一下,如果大家有什么好的方法,可以教教我.这两天为了这事儿头疼死了.

   网站现在大体的情况是dede+smarty开发的博客系统+dz,百度和谷歌的权重都在5左右,所以访问量还是比较大的。

   dede公认的漏洞比较多,而且接手的这个dede还二次开发过。所以短时间内找漏洞是不太可能了,如果有朋友之类的话,可以让他们一起检测,毕竟一个人太麻烦了,或者加我QQ2387813033

   1.网站目录安全性

       1>所有的目录可以设置777权限,css和images文件,css可以设置读写权限,不给执行权限,css经常改的话给写权限,图片文件只给读的权限就可以了,去掉所有不用经常改的PHP文件写入权限,不给任何攻击者将代码写入php中的机会

       2>经常扫描是否有特殊后缀或者新被上传的文件,看源码,尤其是inc后缀的

   2.网站安全检测    

       1>360网站安全检测,这个还是比较好使的,不过360有没有其他的想法就不知道了,哈哈检测完了有修复的提示。

       2>自己写一个检测网站木马文件的脚本,网上也有,他本身就是木马,找一个没有后门之类的,上传上去,自己检测。这个还是非常不错的。看清楚源码以后删除木马文件。

       3>使用DOMAIN3.5之类的上传注入软件自己测试一下网站。

   3.修改服务器配置增加安全性

       1>在apache配置文件中禁止一些目录执行php文件的权限,比如uploads/,html/等。下面是一个例子:


1
2
3
4
5
6
<Directory  "/usr/local/apache2/htdocs/uploads" >
<Files ~  ".php" >
Order allow,deny
Deny from all
</Files>
</Directory>

       2>有些不希望别人访问的目录也直接禁止掉。

       3>修改php.ini的disable_functions添加禁止的函数,如

1
system, exec ,shell_exec, passthru ,proc_open,proc_close, proc_get_status, checkdnsrr , getmxrr , getservbyname , getservbyport , syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname


   4.其他方式

       1.打补丁,尤其是坑爹的dede

       2。经常修改服务器的帐号密码,ftp帐号密码,最好用sftp

       3.最好把dede后台的文件管理器关闭,还有dede数据库备份还原。以及文章里的图片上传之类的全部做过滤,禁止上传其他格式,尤其是php格式的文件。

       4.对linux服务器不是特别懂,所以就先不说这个了。以后学成了再和大家讨论










本文转自 3147972 51CTO博客,原文链接:http://blog.51cto.com/a3147972/1280901,如需转载请自行联系原作者
目录
相关文章
|
数据采集 搜索推荐 算法
外贸网站SEO文章多少分算合格?专业站长解析SEO文章评分标准
当我们谈论外贸网站的Google优化,我们不仅仅是在谈论关键词的排名,我们还在谈论网站的整体SEO策略,包括但不限于:关键词研究、内容创作、外链建设以及技术优化等方面。 其中,SEO文章的创作和优化,是非常重要的一环。 SEO文章的评分标准,并不是一个固定不变的数字,它会根据Google算法的更新和行业标准的变化而调整。 然而,有一些基本的原则,我们应该始终遵守。
143 0
|
数据采集 搜索推荐 SEO
外贸网站如何做好站内优化?
在谷歌SEO和Google优化中,外链建设是一项至关重要的工作。 本文将分享一些实用的技巧和方法,帮助您打造高质量的谷歌SEO外链。 做的国外网站如何让谷歌收录?Google不收录独立站怎么办?这是许多站长都关心的问题。
134 0
|
算法 搜索推荐 数据挖掘
SEO咨询有什么好处?细说网站SEO咨询服务的6大优点
SEO咨询通常是由资深SEO顾问提供的一种企业服务,SEO咨询一方面可以打破企业的优化瓶颈,另一方面也可以提升团队的优化能力,从而让企业在搜索营销中更具竞争力。接下来小编为你细说网站SEO外包服务的6大优点,一起来看看吧。
190 0
|
搜索推荐 定位技术 数据库
网站改版如何使用SEO技术
从简单的表现型网站到市场营销型网站,从市场营销型网站到建立移动网站对于现在运营了10年以上的网站来说,最担心的是每次升级改版、年代变化、技术日新月异、网站运营一段时间后需要改版,但是在网站升级改版的过程中,如何使用SEO技术防止这种情况
123 0
网站改版如何使用SEO技术
|
运维 程序员 云计算
(零技术)怎样快速拥有自己的网站???
>快速建站,主要针对非技术有需求人士一站式服务
122 0
(零技术)怎样快速拥有自己的网站???
|
安全 网络安全
网站安全该如何做?怎么样才能防止被攻击
作为一名网络安全工程师,“网站安全”这个词似乎离生活有些遥远,平日里很多人开启计算机最多就是登录网站、浏览网站,至于网站安不安全,却从未关注过。近些年来,网络安全相关话题已经引起了社会的广泛关注,还记得去年暑期大火的偶像连续剧《亲爱的热爱的》讲述了男主希望为中国拿下CTF大赛冠军的梦想之路,CTF在网络安全领域中指的是网络安全技术人员之间进行技术比拼的一种比赛形式,当然,这部剧的成功之处更在于让许多年轻人对网络安全领域产生了兴趣,笔就是其中一员。本文旨在从一名网络安全工程师的角度,用更加通俗易懂的话语,介绍网站安全的相关知识。
200 0
网站安全该如何做?怎么样才能防止被攻击
|
前端开发 开发者 索引
SEO培训开发工程师对网站优化的影响
SEO可以做些5件事来改善他们与开发者的关系 虽然我们花时间争论我们认为最新的百度算法更新所关注的内容,或者在页面上包含多少单词或链接,但我们忽略了当今行业中最紧迫的问题之一: SEO和开发人员之间的鸿沟SEO的成功取决于开发人员,而不是你最初的想法。
1099 0
|
搜索推荐 UED
网站建站过程中容易忽视的三个细节
一个网站的建设是需要专业性、技术性很强的人才能够做的,并不是敲打一些代码、上传一些图片就可以的了,如果在建设网站的时候设计不当,很有可能不会让搜索引擎收录,所以用户也就不可能通过检索来访问网站了。在网站建设中大家都很忽视一些关键的细节,比如:关键词的分布,还有网站的链接等等,而这些不起眼的小细节往往对网站还起着关键因素,下面小编就给大家详细分析网站建设容易让人忽视的几个细节。
谈谈互动型网站中垃圾贴的应对方案,互联网营销
  在互动型网站中常常会受到垃圾贴的困扰。我分享一点个人在垃圾贴处理方面的一点心得:   要处理垃圾贴必然需要分析垃圾贴的特征  1. 在内容上垃圾贴通常会带有一个固定域名的外部链接,或者带有QQ号码,手机号码,或者重复内容;  2. 在发帖频率上有可能是某个用户或者某个IP在短时间内发别多个帖子;  3. 在手段上高级一点的垃圾贴可能用发贴机,可能会使用不同ip,并附带破解验证码的程序。
817 0
下一篇
云函数