当前位置:首页 > 建站优化 > 正文内容

网站建设中如何降低网站被挂马的风险?

zhuangbi888.com2021-05-14 14:01建站优化240

一般用户可能没有感觉,但站长朋友肯定知道,如果一个网站放置一段时间不管它,等某一天你再去看它时,发现它可能都被挂马了。其实网站被挂马是常见现象,特别是基于CMS开发的网站。

网站一旦被挂马,就会给访客和网站自身带来一些麻烦,比如说:

网页上会存在一些恶意脚本,可能会弹出很多垃圾广告弹窗、跳转到不相关甚至是非法的网站上、插入大量链接、网页死循环等,降低了访问体验;

原网站内容被非法篡改,网站面目全非;

影响网站SEO效果,降低百度等排名,网站极容易被降权等;

非法修改网站源码,甚至删除了网站程序文件等,造成数据损失。

上面讲的这些危害后果,其实网站一旦被挂马后,清理也是很麻烦的一件事,因为黑客已经破坏了你网站的源文件,而且不止一处插入了恶意代码。

那这些黑客是如何将恶意代码植入我们网站程序中的呢?无非是这几步:

1、黑客寻找网站漏洞并利用

这里的漏洞主要有这些:

文件上传漏洞:比如上传页面没有对上传文件格式做验证导致上传了动态脚本(如直接上传了php文件),再者是上传页面没有做权限验证导致非法用户也能上传文件等;

表单数据未过滤漏洞:比如用户在发表文章时,可以插入JS、CSS代码,这样就足以植入恶意脚本,页面渲染时就会运行这些JS、CSS代码;

SQL注入漏洞:存在SQL注入点,黑客可以入侵数据库进行操作,严重的还能删库;

管理后台弱口令漏洞:一些管理后台帐号密码过于简单(比如 admin),一猜就中,直接登录进入后台,想怎么操作就怎么操作 ...

2、恶意代码植入

找到漏洞后就可以利用,然后在网页程序中植入恶意代码,这样用户访问到页面后就会加载到这些恶意代码,攻击者的目的也就达到了。

既然我们知道黑客挂马的大致流程,那如何避免网站被挂马呢?结合我十几年的运维经验整理了一些建议供大家参考:

1、网站建设时请尽可能不要选择CMS

现在市面上的CMS源代码都是公开的,所以0day漏洞也很多。漏洞公开后,大家只要找到是这种CMS建的站,基本上都能攻击成功,所以波及范围较广。

但如果我们的程序是自主开发的,那攻击者不知道我们的源码逻辑,攻击难度会很大。如果是基于CMS建的网站,一定要留意官方发布的补丁及时修复。

2、用户提交的数据做好过滤

在WEB开发领域,我们一直强调用户的任何输入都是不能相信的,我们在拿到用户提供的数据后务必要做必要的核验(格式是否正确)和过滤(过滤一些敏感字符)。我的建议是:

数据类型强制转换;

过滤掉这些内容:JS标签及代码、CSS标签及代码、HTML标签中的各类事件、单引号、双引号、SQL关键字;

网站建设中如何降低网站被挂马的风险?

3、源码目录及文件权限严格控制

网站建设中如何降低网站被挂马的风险?

这个是很重要的,既使攻击者拿到了上传漏洞,但是我们只允许它上传到特定目录,其它目录没有写权限,那就感染不了,如果没有执行权限,那上传的动态脚本也是无法执行的。

4、后台使用复杂口令

后台地址改成无法猜到的地址,密码一定要设得复杂点。

5、定期对站点进行木马查杀

定期把站点备份好,然后做木马查杀,现在杀毒软件是可以查杀WEB木马的。

以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!

手机会莫名其妙的收到某些网站的验证码是怎么回事?

这个很容易判断,你的手机号被别人用来注册或验证了上述几个平台,所以导致了你收到相关的短信验证信息。

大概分析一下,有两个原因。

一个是别人在注册或验证上述平台的时候输错了号码,输入成了你的手机号码,所以导致你收到了上述的验证码。

第二个原因就是恶意注册或验证,网上故意输入你的号码,导致你收到相关信息。有可能仅仅制造垃圾短信,也有可能涉及诈骗,不管哪种原因,手机收到的验证信息请勿告知他人,防止诈骗。

如果你对我的回答满意,请帮忙点赞。

相关文章

独立服务器绑定域名(cdn加速服务器)

1.远程桌面   通过远程桌面登录服务器,在服务器里选择开始菜单里的IIS管理器进入,然后在网站文件展开目录下找到已经建立好的站点,右键选择属性打开该站点属性面板,   2、进入站点属性面板后可见目...

个人网站建设的过程(南京社会保险服务个人网站)

个人网站建设的过程(南京社会保险服务个人网站)

去年11月刚好建立了属于自己的第一个网站,从域名的申请到网站结构的搭建、文章的上、流量的监控,后来还帮助一个老乡搭建了网站。算得上有一定的经验吧!下面跟大家分享一下我的第一次建站经验吧! 1、建站前...

免费空间主机 试用(如何申请免费空间和域名)

免费空间主机 试用(如何申请免费空间和域名)

现在美国免费主机还存在许多的问题,并不是想象中的那么好用。第一、申请时间长,过程复杂现在很多IDC商家打出美国免费主机宣传,其主要目的是为了其它产品推广而吸引用户的。同时,申请时需要提供很多的资料,诸...

域名培训(阿里云域名解析)

首先我们要明白国家出这个政策的根本原因: 1、培训机构已经扰乱到国家选拔人才的程序了。 不说别的,就说我周围同事吧,孩子读小学一年级时就把三年级的课都提前上了,六年级时初中的课就上了。初中前大家智商都...

怎么知道单位域名(企业域名如何申请)

怎么知道单位域名(企业域名如何申请)

首先注册一个域名,这个域名就是企业邮箱的后缀。 域名可以去万网,新网申请国内比较大的两家公司,然后做个实名认证,这个是一定要做的,不做域名无法使用。 在线上购买企业邮箱,例如:腾讯企业邮箱 阿里云企业...

手机微信网站模板(微刊模板网站)

手机微信网站模板(微刊模板网站)

工具/原料电脑微信公众号方法/步骤1个人订阅号开通原创功能后或是服务号通过认证后,在后台制作时会新增一项功能,就是页面模版功能。但是这项功能如果没有出现在左侧列表中,需要自己点击添加功能插件,进行申请...

城市分类信息网站系统(做分类信息网站赚钱吗)

城市分类信息网站系统(做分类信息网站赚钱吗)

现在开发门户分类信息网站,还有发展前景吗?如果是开发此类信息网站的软件,个人认为已经没有多少发展的空间了。作为分类信息网站,技术上已经走过了多个年头了,基本上已经成熟,当然也有改进的地方。如果能够开发...

一个网站的二级域名备案吗?

一个网站的二级域名备案吗?

网站的建立可以给人们的生活带来便利,但是若不按照规定进行备案,将会极易导致网络诈骗案件的发生、我们知道一级网站一般都是需要备案的,那么,做一个网站二级域名备案吗?就实际情况来说,在备案之后,会有什么好...