谈谈网站安全性的问题

简介:

   刚入职没多长时间,网站一直有人上传木马,基本网站一直处在被人攻击的状态,纠结阿。一直忙着解决这问题了。今天好不容易有些成就,就拿出来和大家分享一下,如果大家有什么好的方法,可以教教我.这两天为了这事儿头疼死了.

   网站现在大体的情况是dede+smarty开发的博客系统+dz,百度和谷歌的权重都在5左右,所以访问量还是比较大的。

   dede公认的漏洞比较多,而且接手的这个dede还二次开发过。所以短时间内找漏洞是不太可能了,如果有朋友之类的话,可以让他们一起检测,毕竟一个人太麻烦了,或者加我QQ2387813033

   1.网站目录安全性

       1>所有的目录可以设置777权限,css和images文件,css可以设置读写权限,不给执行权限,css经常改的话给写权限,图片文件只给读的权限就可以了,去掉所有不用经常改的PHP文件写入权限,不给任何攻击者将代码写入php中的机会

       2>经常扫描是否有特殊后缀或者新被上传的文件,看源码,尤其是inc后缀的

   2.网站安全检测    

       1>360网站安全检测,这个还是比较好使的,不过360有没有其他的想法就不知道了,哈哈检测完了有修复的提示。

       2>自己写一个检测网站木马文件的脚本,网上也有,他本身就是木马,找一个没有后门之类的,上传上去,自己检测。这个还是非常不错的。看清楚源码以后删除木马文件。

       3>使用DOMAIN3.5之类的上传注入软件自己测试一下网站。

   3.修改服务器配置增加安全性

       1>在apache配置文件中禁止一些目录执行php文件的权限,比如uploads/,html/等。下面是一个例子:


1
2
3
4
5
6
<Directory  "/usr/local/apache2/htdocs/uploads" >
<Files ~  ".php" >
Order allow,deny
Deny from all
</Files>
</Directory>

       2>有些不希望别人访问的目录也直接禁止掉。

       3>修改php.ini的disable_functions添加禁止的函数,如

1
system, exec ,shell_exec, passthru ,proc_open,proc_close, proc_get_status, checkdnsrr , getmxrr , getservbyname , getservbyport , syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname


   4.其他方式

       1.打补丁,尤其是坑爹的dede

       2。经常修改服务器的帐号密码,ftp帐号密码,最好用sftp

       3.最好把dede后台的文件管理器关闭,还有dede数据库备份还原。以及文章里的图片上传之类的全部做过滤,禁止上传其他格式,尤其是php格式的文件。

       4.对linux服务器不是特别懂,所以就先不说这个了。以后学成了再和大家讨论










本文转自 3147972 51CTO博客,原文链接:http://blog.51cto.com/a3147972/1280901,如需转载请自行联系原作者
目录
相关文章
|
10月前
|
数据采集 前端开发 算法
外贸网站怎么做站内优化?
答案是:外贸官网的站内优化包括:代码优化,内链优化,结构优化三大类。 内容是王道 一份优质的内容是Google优化的基础。 投入时间和精力来创造独特、有价值的内容,以吸引和保留读者。 记住,内容必须是原创的,并且应该针对您的目标受众。 不断更新新的、有价值的内容也能够帮助提高网站的Google排名。
72 0
外贸网站怎么做站内优化?
|
数据采集 搜索推荐 SEO
外贸网站如何做好站内优化?
在谷歌SEO和Google优化中,外链建设是一项至关重要的工作。 本文将分享一些实用的技巧和方法,帮助您打造高质量的谷歌SEO外链。 做的国外网站如何让谷歌收录?Google不收录独立站怎么办?这是许多站长都关心的问题。
104 0
|
搜索推荐 视频直播 SEO
SEO外包有什么好处?细说网站SEO外包服务的6大优点
网站SEO优化是一项涉及到多个岗位共同努力才能做好的工作,网站SEO外包一方面可以将企业非核心业务外包,另一方面也可以获得更专业的服务,从而让企业在网络营销中更具竞争力。接下来小编为你细说网站SEO外包服务的6大优点,一起来看看吧。
159 0
|
算法 搜索推荐 数据挖掘
SEO咨询有什么好处?细说网站SEO咨询服务的6大优点
SEO咨询通常是由资深SEO顾问提供的一种企业服务,SEO咨询一方面可以打破企业的优化瓶颈,另一方面也可以提升团队的优化能力,从而让企业在搜索营销中更具竞争力。接下来小编为你细说网站SEO外包服务的6大优点,一起来看看吧。
171 0
|
搜索推荐 SEO
新站SEO优化该从何入手
新站SEO优化该从何入手
89 0
新站SEO优化该从何入手
|
安全 网络安全
网站安全该如何做?怎么样才能防止被攻击
作为一名网络安全工程师,“网站安全”这个词似乎离生活有些遥远,平日里很多人开启计算机最多就是登录网站、浏览网站,至于网站安不安全,却从未关注过。近些年来,网络安全相关话题已经引起了社会的广泛关注,还记得去年暑期大火的偶像连续剧《亲爱的热爱的》讲述了男主希望为中国拿下CTF大赛冠军的梦想之路,CTF在网络安全领域中指的是网络安全技术人员之间进行技术比拼的一种比赛形式,当然,这部剧的成功之处更在于让许多年轻人对网络安全领域产生了兴趣,笔就是其中一员。本文旨在从一名网络安全工程师的角度,用更加通俗易懂的话语,介绍网站安全的相关知识。
181 0
网站安全该如何做?怎么样才能防止被攻击
|
安全 双11
网站安全防护 防止网站被撸羊毛
撸羊毛借助联系发卡平台能够处理二次验证难题——黑卡的生命期是3个月~一年,撸羊毛能够联系发卡平台从新上卡亦或是申请注册前事先约好卡源在线的时间来处理二次验证难题。但这并不代表着二次验证是没用的。上小节提及卡商会反复补卡来做到收入利润最大化,因此发卡平台约好线上时间(某一大批卡源固定不动占据某些4g猫池机器设备)时,会借助提高领号成本价来确保收入。这针对作为供应商的发卡平台而言是满足收入规定的,但针对中下游撸羊毛而言领号成本费用将是原先的2~10倍,818和双11等大促主题活动时一般 还会继续再提高2~5倍。
431 0
网站安全防护 防止网站被撸羊毛
|
SQL 安全 关系型数据库
公司网站被劫持到其它网站如何解决
公司网站被劫持到其它网站如何解决
325 0
公司网站被劫持到其它网站如何解决
|
搜索推荐 前端开发 JavaScript
新站必须重视的12个SEO站内优化项目
站内优化,相对来说做的工作就比较多了,seo站内优化方法有哪些,作为成都SEO众多服务外包商中的一员,今天给大家讲解一下,希望对新手有所帮助。
112 0