织梦安全-如何避免网站被黑客挂马

优质老薛主机推荐:15%终身付款折扣:xwseo15 25%首次付款折扣 : xwseo115 点击下图进入购买

最近小魏在学习了解关于网站安全渗透方面的研究,不学还对于安全感觉也就那么多,但是知识是无止境的,只有你学习了之后才知道,世界没有最安全的盾,只有不锋利的茅,所以做好安全防护是非常重要的,我们每个企业或多或少都会遇到过网站被黑,或者网站被挂马的情况,那么我们该如何避免呢?接下来小魏就分享下小魏了解的关于安全的知识,希望对于大家有所帮助和启发。

相信很多人用的程序中织梦用的人数最多,无论是政府,学校,还是中小企业用的人应该很多,那么很多人在用织梦中被挂马是常有的事情,那么我们该怎么避免网站被挂马呢?俗话说的好,虽然没有最安全的盾,但是你不防御,那叫不攻自破,所以防御很重要,就好比你家门,你不上锁,那么很容易进来人拿走,偷走东西,但是你给他上锁,这样就能降低风险,相对来讲比较安全,即使遇到在牛逼的黑客,他也需要经过那道门,也就是说要增加的他攻击的时间成本,这样我们的心里才能平衡。

黑客一般经过的流程:

织梦安全-如何避免网站被黑客挂马

那么织梦这么多漏洞我们该如何避免漏洞对我们造成的损失呢?接下来小魏为大家分享关于网站如何做好安全防护工作。

DedeCms的漏洞这么多,那用织梦cms的站长是怎么保证网站安全呢?有人会有如下措施。
用户一说:服务器运行waf,开cdn等服务。还有时刻关注织梦的安全事件,及时打补丁。
用户二说:

安全设置
1、以下目录:data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可以在后台进行更改;
2、以下目录:include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改;
3、如果不需要使用会员、专题,可以直接删除member、special目录;
4、删除install安装目录;
5、管理员帐号密码尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限;
6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限;
7、定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复;8、改变织梦data目录位置。

织梦安全-如何避免网站被黑客挂马
用户三说:本地PHP环境下调试,生成HTML后连带其它的引用文件直接上传。有一段时间老是被挂马就是这么玩的。
用户四说:前面挂一个nginx ,整站静态化,cms得服务器与nginx 在两台上
用户五说:织梦程序的会员模块管理员帐号admin如何删除_ 首要任务得先删掉admin管理帐号
用户六说:你生成整站静态~然后删除后台~万事大吉~哈哈
用户七说:上安全狗 起码能防住一群无脑的脚本小子

对于以上几种说法,其实都说的对,最主要的是做好网站数据备份和用户二说的,做好安全设置,这个对于我们的程序来讲很重要,

权限问题:

一般权限问题也很重要,比如我们在使用iis的时候给网站的只读,可写,可执行,这三个权限很重要,也就是说我们在设置的时候遵循以下原则。

1.要么就是只读,可写,但是不可执行
2.要么就是只读,可执行,但是不可写入

只有遵循这样,权限设置是安全的,还有比如在使用iis搭建网站的时候,如果是php程序,不需要asp运行的组件,不要勾选,这样能降低对于程序的危害。

还有就是我们知道在使用iis的时候我们搭建网站的时候遵循搭建一个网站分配一个独立的用户,也就是说当黑客在一个网站被黑的时候,其他的网站不受影响。

还有就是一般黑客目的是拿到你的数据库的总权限,也就是root权限,所以我们避免在网站的过程中mysql数据库给过高的权限,也就是说每个网站给独立的数据库权限,只能查看当前网站的数据库,不能查看全部数据库,这样避免了其他的网站数据被暴漏或者被删除。

织梦安全-如何避免网站被黑客挂马

对于权限的问题,后期小魏会分享更多的,还有很多,比如关于网站程序本身的安全问题,还有服务器的问题,如何避免服务器被暴力破解
比如服务器不用的端口关闭,防止被黑客扫描,以及服务器的端口更改,以及服务器的ip隐藏,防止被攻击,使用cdn加速防护,以及等等,所以安全问题对于我们站长来讲非常重要,这次就分享这么多,后期会分享更多。

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址