建站百科Website News

当前位置:首页 »网站建设中如何降低网站被挂风险

网站建设中如何降低网站被挂风险

至成科技2021-05-07访问量(3088)评论(0)
摘要:普通用户可能感觉不到,但站长朋友肯定知道,如果一个网站放置了一段时间,不管它是什么,当你有一天去看它的时候,你可能会发现它已经被暂停了。事实上,网站被挂起是一种普遍现象,尤其是基于CMS开发的网站。网站一旦挂载,会给访问者和网站本身带来一些麻烦,如:1、网页上会出现一些恶意脚本,可能弹出大量垃圾广告弹出窗口,跳转到无关甚至非法的网站,插入大量链接,页面死圈等

普通用户可能感觉不到,但站长朋友肯定知道,如果一个网站放置了一段时间,不管它是什么,当你有一天去看它的时候,你可能会发现它已经被暂停了。事实上,网站被挂起是一种普遍现象,尤其是基于CMS开发的网站。网站一旦挂载,会给访问者和网站本身带来一些麻烦,如:
1、网页上会出现一些恶意脚本,可能弹出大量垃圾广告弹出窗口,跳转到无关甚至非法的网站,插入大量链接,页面死圈等,降低访问体验;
2、影响网站SEO效果,降低百度排名,网站很容易被降权等;
3、非法修改网站源代码,甚至删除网站程序文件,造成数据丢失。
上面提到的这些有害后果,其实网站一旦挂载,清理也是一件非常麻烦的事情,因为黑客已经破坏了你网站的源文件,而且不止一个地方插入了恶意代码。

那么这些黑客是如何将恶意代码植入我们的网站程序的呢?

主要漏洞如下:
1、文件上传漏洞:如上传页面未验证上传文件的格式,导致上传动态脚本(如直接上传PHP文件),上传页面未验证权限,导致非法用户可以上传文件等;
2、表单数据未过滤漏洞:例如,用户在发布文章时,可以插入JS和CSS代码,这足以植入恶意脚本,这些JS和CSS代码将在页面呈现时运行;
3、SQL注入漏洞:存在SQL注入点,黑客可以入侵数据库进行操作,严重时甚至删除数据库;
4、管理后台弱密码漏洞:有些管理后台账号密码太简单(如admin),一猜,直接登录后台,怎么操作就怎么操作
5、在发现该漏洞后,利用该漏洞,将恶意代码植入到web程序中,使得用户在访问网页后可以加载这些恶意代码,从而达到攻击者的目的。

现在我们知道了黑客挂马的一般过程,如何避免网站挂马?结合我十多年的运行维护经验,提出一些建议供大家参考。
1、现在市面上的CMS源代码是公开的,所以0day中存在很多漏洞。漏洞公之于众后,只要找到这个CMS建的站,基本上可以攻击成功,所以范围很广。但如果我们的程序是自行开发的,攻击者不知道我们的源代码逻辑,攻击将非常困难。如果是基于CMS的网站,一定要注意官方补丁,及时修复。
2、在web开发领域,我们一直强调用户的任何输入都是不可信的。在得到用户提供的数据后,我们必须进行必要的验证(格式是否正确)和过滤(过滤一些敏感字符)。
3、过滤掉这些内容:JS标签和代码、CSS标签和代码、HTML标签中的各种事件、单引号、双引号和SQL关键字;
4、这是非常重要的。即使攻击者获得上载漏洞,我们也只允许将其上载到特定目录。如果其他目录没有写权限,它们将不会被感染。如果他们没有执行权限,上传的动态脚本将不会被执行。
5、背景地址更改为无法猜测的地址。密码必须设置得更复杂。
6、定期备份网站,然后做木马查杀,现在杀毒软件可以查杀网页木马。

至成科技-电话:02989390727
专业的西安网站建设制作设计公司,有丰富的网站建设经验,大量网站建设案例,主营集团品牌网站建设制作和设计,电商网站,小程序开发,微信公众号开发及各类管理系统开发等业务。

扫描左侧二维码
关注至成微信公众号

西安至成信息科技有限公司  Copyright 2012-2024  xazcit.com  All rights reserved.

Email:zcit@zcit.net     邮政编码:710016     《中华人民共和国增值电信业务经营许可证》陕B1.B2-20140011     陕ICP备12008874号-1

联系地址:西安市经开区凤城四路西安国际企业中心B座23层06-10室    售前咨询热线:02989390727    售后服务电话:02989390727

西安网站建设、网站设计制作公司-至成科技,已为众多企业提供网站建设网站制作响应式网站设计手机网站建设虚拟主机云主机服务器租用等建站解决方案。

域名合作伙伴:新网互联软件服务有限公司 陕公网安备 61019102000393号

网络警察12321垃圾信息举报不良信息举报中国文明网西安工商高新技术企业证书