站长百科:
下午好,欢迎参加本次站长百科采访。
每个站长或多或少都遇到过网站安全问题。也许很多人的网站都被挂马之类的安全问题所困扰。在本次网站管理员百科全书采访中,邀请湖盟云防火墙安全工程吴辉讨论揭示个人网站的安全问题。
请在本期采访中与大家打招呼,并简单介绍一下自己。
吴辉:
大家好,我是吴辉,湖北黄冈人,现居深圳,国内安全白帽聚集区——乌云技术社区成员。从2007年开始,专门从事互联网网络安全viekstID国内各相关论坛混迹。在学校期间,学校主站、内部网络、当地门户网站等渗透测试都取得了成功。个人擅长代码审计和web渗透测试。近日,作为湖盟云防火墙的安全工程师,我负责WEB加强规则和注入渗透。
站长百科:
可以看出,嘉宾在网站安全方面有着丰富的实践经验。
下面是本次采访的第一个问题
什么是网站安全?嘉宾能简单介绍一下网站安全的概念吗?
吴辉:
网站安全是指为系列的防御工作,以防止网站被外国计算机入侵,篡改网页。如何实现业务,因为网站设计师更多地考虑满足用户应用。很少考虑网站应用开发过程中的漏洞,在不注重安全代码设计的人眼中几乎看不到。大多数网站设计开发人员和网站维护人员对网站攻防技术知之甚少;在正常使用过程中,即使存在安全漏洞,也会正常使用 用户无法察觉。
站长百科:
那么,个人网站利用这些漏洞的常见网站攻击手段是什么呢?
吴辉:
对这些感觉的攻击有:SQL注入 ,跨站, 文件包含, 执行远程代码
这些漏洞是由于程序的设计缺陷或某些参数没有过滤而成功利用的
站长百科:
很多站长经常被网站上的黑链困扰。我们应该如何防止黑链?
吴辉:
一般黑客会在网站的主页或内容页面上挂一个代码,让搜索引擎认为网站导出了一个链接,这个代码非常隐藏,在我们通常简单的网站维护中看不到,此时可以通过IE查看菜单,找到源文件,并通过Ctrl+F找,比如。
“ < a href=”” target=”_blank” > 百度 < /a > ”内容页面也是如此。若找到后。可以通过Ftp下载Index.php删除、上传和覆盖文件。这基本上解决了挂黑链的问题。当然,解决问题后,必须通过密码设置加强对网站安全的保护,以确保网站未来的安全性能!
站长百科:
对于个人网站来说,挂马可能是一件经常头疼的事情。
那么如何防止挂马等安全问题呢?
吴辉:
木马通常在那里html在页面中加入一句话Iframe这个代码很容易通过js脚本下载到客户机上,让别人的电脑感染木马病毒。我们可以在主页和内容页面查询iframe开头的段落,然后用工具排查,包括数据库、后台和服务器!网站受到攻击后,在很多情况下都能找到,你也可以检测到网站服务器日志来查找这些信息,一旦发现异常就立即处理。
站长百科:
我们经常提到网站的服务器安全webshell问题。
那么如何才能有效预防呢?webshell问题呢?
吴辉:
其实webshell不仅可以通过破解服务器后门获得,还可以通过上传漏洞或编写配置文件获得,所以对于相关的cms网站建设程序应及时修复和升级,补丁这些漏洞,避免被黑客使用。此外,我们通常学习更多的服务器和网站安全知识,以各种方式解决网站漏洞的问题!
站长百科:
那么,为了实现更高的安全性,我们应该考虑哪些因素呢?
吴辉:
为了节约成本,一些空间提供商没有安装高质量的防病毒软件,这使得服务器有很多后门。这些后门经常被一些黑客添加到许多新的管理账户中,然后被黑客带走 webshell,虽然现在在市场上webshell比较便宜,但黑客可以黑空间商批量出售
为了防止服务器后门被攻击,我们可以一直通过 按数次的shift然后,然后提示您可以进入后台。此时,您可以定期检查背景中是否有身份不明的账户。如有,请立即删除,并仔细检查服务器 管理组用户,看看有没有不明用户,当然,适当的备份是非常必要的!
站长百科:
我们应该注意网站的安全保护?
吴辉:
(1)网站上线后,应及时修改网站后台管理路径
(2)设置不常见的帐户和复杂的密码
(3)定期备份背景数据,并及时备份到个人主机,
(4)定期观察论坛的最新咨询和漏洞
(5)一旦出现问题,及时恢复备份数据
站长百科:
那么,站长应该怎么做才能真正保证他们的网站不被入侵呢?
吴辉:
为了保护我们的网站不受黑客攻击,我们应该从三个方面加强:空间、车站建设程序和站长的安全意识。任何小问题都可能导致黑客入侵。只有同时保护这三个方面,才能有效避免黑客攻击。
站长百科:
上述建站程序的安全问题
那么如何从网站安全的角度选择网站建设程序呢?有没有测试网站程序是否安全的测试方法?
吴辉:
选择一个安全的网站建设程序是非常重要的,这也直接决定了以下数据和网站的安全性。当然,这些网站建设系统不可能达到绝对的安全性。他们或多或少都有一些漏洞。我们需要做的是在此基础上进行改进。
如果你想测试你的网站是否安全,你可以在网上下一些Web安全漏洞扫描安全漏洞扫描仪JSky,他能检测到SQL注入、跨站脚本、目录泄露、网页木马等。WEB应用层漏洞也是黑客经常使用的工具。
站长百科:
以下是本次采访的最后一个问题
请从网站安全的角度对个人网站提出一些建议。
吴辉:
(1)仔细检查安装说明书,照官方说明做好基本安全设置。
(2)经常访问相关官网,关注程序安全漏洞,更新版本,及时升级或补丁程序。
(3)尽量不要使用修改版和插件版的程序,因为修改后的程序会使漏洞更多,补丁可能不完全适用。
(4)设置相对复杂FTP并经常修改密码和网站管理密码,并考虑修改网站后台管理的文件名称。
(5)经常检查网站内部文件,发现可疑文件后及时处理,能的原因。
(6)对于SQL您可以使用企业管理器连接数据库,然后将重要数据表设置为只读权限,以防止管理员以任何方式添加。
(7)二次开发时记得过度考虑特殊符号,防止漏洞注入。
(8)经常备份自己的网站数据,因为网站安全的第一要求是备份,防止被黑后数据丢失。
(9)如果有服务器管理权限,建议在论坛上设置图片目录
站长百科:
感谢嘉宾的精彩回答,本期站长百科采访到此结束。
版权所有,转载请注明站长百科(),违者必须调查