很多個人和 WordPress 企業想透過網際網路上建立電子商務或者金融借貸平臺,這些網站做好的話,可以說是既省時又省力,大把大把賺 money 。網站因需要被公眾訪問而暴露於因特網上,容易成為駭客的攻擊目標。其中,駭客和不法分子對網站的網頁 (主頁) 內容的篡改是時常發生的,而這類事件對公眾產生的負面影響又是非常嚴重的,即:形象受損、資訊傳達失準,甚至可能引發資訊洩密等安全事件。網頁篡改者利用作業系統的漏洞和管理的缺陷進行攻擊。
目前,入口網站常因以下安全漏洞及配置問題,而引發網頁資訊被篡改、入侵等安全事件:
1 、網站資料庫賬號管理不規範,如:使用預設管理帳號 (admin,root,manager 等) 、弱口令等。
2 、入口網站程式設計存在的安全問題,網站程式設計者在編寫時,對相關的安全問題沒有做適當的處理,存在安全隱患,如 SQL 隱碼攻擊,上傳漏洞,指令碼跨站執行等。
3 、 WEB 伺服器配置不當,系統本身安全策略設定存在缺陷,可導致入口網站被入侵的問題。
4 、 WEB 應用服務許可權設定導致系統被入侵的問題。
5 、 WEB 伺服器系統和應用服務的補丁未升級導致入口網站可能被入侵的安全問題等。
那麼該如何解決呢
以下是解決方案
據目前入口網站可能存在的安全隱患及風險,給入口網站提出如下安全防護解決方案:
1 、免費 DDOS 解決方案
透過最佳化 Windows 2003 或者 Windows 2008 系統的登入檔,可有效對抗每秒約 1 萬個左右的 SYN 攻擊,方法是把以下文字內容存檔為 antiddos.reg 然後匯入登入檔並重新啟動即可。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
”SynAttackProtect”=dword:00000002
”TcpMaxHalfOpen”=dword:000001f4
”TcpMaxHalfOpenRetried”=dword:00000190
此方案的優點是:採用系統自身的能力來解決問題,而無需任何花費; 缺點是:只能抵禦每秒少於 10000 的 SYN 攻擊,並且無法解決 TCP 多連線攻擊。
2 、網站安全檢測
1) 、進行網站安全漏洞掃描
由於現在很多網站都存在 sql 注入漏洞,上傳漏洞等等漏洞,而駭客透過就可以透過網站這些漏洞,進行 SQL 隱碼攻擊進行攻擊,透過上傳漏洞進行木馬上傳等等。所以網站安全檢測很重要一步就是網站的漏洞檢測。
掃描完後就可以檢視網站所存在的漏洞和存在的網頁,可以根據報告裡面的建議進行漏洞修補,但請注意,在修改網頁程式碼之前要先做好備份工作。
說明:對於發現的網站漏洞要及時修補。
2) 、網站木馬的檢測
網站被掛馬是非常普遍的事情,同時也是最頭疼的一件事。所以網站安全檢測中,網站是否被掛馬是很重要的一個指標。
其實最簡單的檢測網站是否有掛馬的行為,很簡單,直接開個防毒軟體掃描,看看有沒有掛馬提示就可以啦。當然還有直接去這些防毒軟體建立的網站安全中心,直接提交 URL 進行木馬檢測。
說明:網站被掛馬是嚴重影響網站的信譽的,如有被掛馬,請速度暫時關閉網站,及時清理木馬或木馬連結的頁面地址。
3) 、網站環境的檢測
網站環境包括網站所在伺服器的安全環境和維護網站者的工作環境的安全
很多駭客入侵網站是由於攻擊伺服器,竊取使用者資料。所以在選擇伺服器時要選擇一個有保證的服務商,而且穩定伺服器對網站的最佳化和 seo 也很有幫助的。
而站長或維護著所處的環境也非常重要,如果本身系統就存在木馬,那麼盜取帳號就變得很簡單了。故要保持系統的安全,可以裝瑞星,卡巴這些防毒軟體,還有就是帳號和密碼要設定複雜一些。
4) 、其它檢測
黑鏈檢測,由於現在黑鏈的利潤很高,故現在更多駭客入侵網站目的就是為掛連結,而被掛黑鏈會嚴重影響 SEO 的最佳化。
具體檢測方法:
可以利用站長工具網裡面工具中的 “死連結就愛內測/全站 PR 查詢” 的選項,
將檢測網站分析欄,選擇 “站外連結”,按 “顯示連結” 按鈕,就會列出一堆站外連結,在裡面可以檢視有那些連結是 PR 比較低而且又比較陌生的連結就可能是黑鏈,將黑鏈刪除就可以。
5) 、遠端連線檢測
開啟寬頻連線,進行寬頻的檢測和 IP 地址的檢測。以防止惡意的竊取使用者資料。
6) 、 FTP 密碼儘量設定得複雜點,密碼裡面最好包含大寫和小寫的英文字母和數字以及特殊字元 (如 c7b64¥8f63ce687&),這樣駭客用弱口令掃描工具就掃描不到你的 FTP 使用者名稱稱和密碼了。
7) 、網站後臺不要用預設路徑和管理員賬號及密碼,現在網路上有很多透過預設路徑猜解後臺帳號密碼的工具,如果不修改預設路徑和管理員賬號和密碼,一些懷有不良企圖的人很容易猜解到你網站後臺賬號和密碼進入你網站的後臺進行非法操作,也就給你網站安全留下了一個隱患,所有務必及時修改網站後臺預設路徑及管理員賬號和密碼。
8) 、更改網站資料庫名,檔名也可以多幾個特殊符號。
9) 、網站的注入和跨站漏洞也是駭客經常利用的漏洞。檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就馬上打上防注入或防跨站補丁,使駭客無可乘之機。
10) 、防患於未然,寫入一些防掛馬程式碼,讓框架程式碼等掛馬無效。
11) 、最好關閉網站的 FSO 許可權。
12) 、設定好網站各個資料夾的讀寫許可權。
簡化一些不必要的程式,對一些不必要的功能,如上傳等做嚴格的限制,用工具檢查自己網站方面是否存在注入,暴庫漏洞等。
13) 、預設的資料庫路徑。
現在很多駭客很喜歡做的一件事情就是從預設的資料庫地址下資料庫來得到網站管理員的帳號密碼,尤其是針對論壇。知道了帳號密碼就等於拿到了整個論壇的管理許可權。其實現在很多站長都有一個誤解,以為把資料庫字尾改成 ASP 就行了,但是知道了路徑的情況下用下載軟體把儲存檔案字尾改成 MDB 也是可以下載的。
防護方法:
修改預設的路徑,越複雜越好,對資料庫進行防下載設定。
14) 、預設後臺。
現在很多 access 資料庫注入漏洞都是能暴出你的後臺帳號和密碼的。駭客用拿到的帳號密碼輸入預設後臺地址就很容易就拿到你的網站許可權了,從入侵到拿到許可權不要 3 分鐘。
防護辦法:修改預設後臺! 就算現在人家利用最新的漏洞暴出了你的帳號密碼但是沒有後臺,他拿了也只能乾瞪眼。
15) 、弱口令。
弱口令是指你的帳號密碼重複或是有很明顯的規律,如 QQ 號碼、生日、電話號碼、預設的系統自帶的原始密碼等等! 現在我們做 Elementor 網站一般都會在站上留一個聯絡方式,如電話或 qq 等,方便廣告主聯絡以及別人對你網站提意見,但是這些都會被駭客所利用到。駭客跟你搭話後,從你的談話種獲取有用的資料。比如身份證號碼、支付寶密碼、銀行密碼、郵箱密碼、 qq 密碼等等。還有設定的後臺管理密碼一定要複雜,現在的密碼很多都是用 MD5 或是別的加密的,如果別人在用別的方法得到了你的資料庫,但是你的密碼複雜的話對方也沒辦法解密的。
防護辦法:設定一些自己能記住但是沒什麼很多規律的密碼,對重要密碼要特別設定,不要圖方便所有的網上帳號密碼都一樣,這樣一個密碼的洩露就有可能導致整個網上資訊的洩露。設定複雜的密碼,最好是在 9 位以上,英文字母和數字搭配使用。
16) 、 IDC 問題。
現在個人站長的安全意識越來越高但是自己的網站安全防護措施做的很到位為什麼還是會被黑呢? 這裡就涉及到了 IDC 管理員的問題。很多站長朋友貪圖小便宜認為小的空間商空間速度不錯,價格便宜所以都選擇了小空間商。但是你要知道也許正是你貪圖小便宜的心理會讓你的網站和心血全是都付之東流。現在很多駭客對定點入侵網站都選擇了旁註的方法,也就是說比如他想入侵你的網站,但是你的網站配置相當安全的情況下,那駭客就會轉移目標去入侵和你同一伺服器的網站,然後透過別的網站拿下的後門進行目錄的跳轉或是提升許可權來達到控制整個伺服器的的目的。那時候你的安全想對伺服器許可權來說沒什麼可言了。
伺服器管理員的問題還有伺服器的軟體配置問題,安裝了第三方軟體,如:Serv-U,FTPflash,VPN,pcanywhere 等等。安裝了這些軟體的伺服器很容易被提升許可權,從而達到得到伺服器的許可權的目的。還有就是沒安裝防 ARP 軟體。因為機房的一臺伺服器的淪陷導致整個機房的淪陷,被別人 ARP 掛馬或是 arp 宿探等等,這樣我們的網站就會被插入惡意程式碼,FTP 密碼就會被駭客所擷取。
17) 、伺服器的硬體配置問題。
當你的網站在網上取得了一定的成績的時候,別人可能就會跟你競爭或眼紅,於是為了跟你爭排名。最常做的就是對你的網站進行 ddos,也就是拒絕服務攻擊。如果你的網站配置不高,沒有硬體防火牆,那別人用幾隻或是幾十只肉雞就可以輕易把你的網站 D 死,讓網站長時間的無法訪問,從而導致搜尋引擎對你進行降權或是 K 站。很多大型的網站曾經都遭到過大型的拒絕服務攻擊。
防護辦法:找一個好的 IDC 運營商,問清楚他們的伺服器配置,不要貪圖小便宜,要知道一分錢一分貨。
18) 、個人電腦安全問題。
如果個人電腦的安全沒做好,種了遠端控制木馬的話那說什麼都沒用了。對方可以很清楚的記錄你的所有帳號密碼,對他而言你在網上沒有任何秘密可言。