本人建设网站,维护网站已经有三年的时间了,小至企业站,大至电子商务网站,门户网站都做过。下面我就拿我的一些客户所遇到的一些问题包括网站安全问题做一些分享,希望能帮到所有还不是很了解网站操作以及网站安全防护相关方面的朋友。
(1)将你的网站程序上传至 wwwroot 目录下(如果您购买的是虚拟主机的话)。此目录是您网站的根目录,此目录不要删除,如果删除了,请重新建立一个。
(2)网站的默认首页文件名:index.htm、index.html、index.asp、index.php;一般虚拟主机都可以通过空间服务商提供的控制面板自行修改设定。
(3)请您不要随意更改主机的默认配置或删除 wwwroot 等默认配置文件及目录否则会直接影响到客户对网站的访问和管理。
(4)如果出现“文件上传了.可是文件大小为零”这一情况,说明您的空间已满,请您清理站点文件或者加购空间。
(5)各种密码一定要设计的复杂。尤其是使用开源程序开发的网站(比如织梦)。我已经处理过三个遭遇木马代码嵌入的网站了,都是使用织梦开发的。我也很奇怪织梦名气这么大,怎么这么容易被拿下。细细想下也许正因为是开源,所以攻击者也非常熟悉你网站里面的一些套路。在攻击你网站的时候,如果你的各种密码都比较弱的话,拿下应该不是一件难事。本人的建议是将各种字符类型都用上,比如这个密码:
Ar!#123.@`Chm
要破解起来还是相当有难度的。不过对于这种密码记得一定要用记事本存放的哦。
(6)不要随意将网站源文件进行打包然后放在网站的根目录下。分析我自己的网站访问路径,经常就看见有 http://www.phpernote.com/wwwroot.rar http://www.phpernote.com/aa.rar 等等此类诡异的 url。很明显,不坏好意的人是想试探我是否将网站源码打包了,如果我果真这么做了,并将压缩包名字名为 wwwroot.rar ,这个后果就严重了,他就直接通过这个链接将我打包的文件给下载了,所以这一点一定要小心。
(7)注意 robots 文件的运用,将一些不应该让搜索引擎抓取的文件以及目录写入到该文件中防止搜索引擎抓取不必要的内容从而影响必要内容的抓取。
(8)在网站的每个目录下面都存放一个空的 index.html 文件,这样可以防止一些安全工作做的很差的虚拟主机直接进行列表目录。虽然这种情况现在已经很少见了。但做好这种防护工作还是非常有必要的。
(9)另外使用开源程序开发的网站程序一定要做好各种安全工作,比如将后台目录改名等等。据统计分析,本站每天都被各种扫描软件扫描,都是在扫描本站后台地址,常见的构造地址就是 wordpress 织梦这种路径来进行猜测。可惜本站非开源软件开发。所以对于这一点本人还是非常放心的。