對於大多數的站長來說,網站被入侵是經常可以看到的話題,但如果發生在自己的身上就會產生強烈的憤慨之情,這就是旁觀者和參與者的區別吧。做站伊始,也是為網站後台的選擇而傷透腦筋,因為草根站長,所以首先就考慮了免費開源的後台程序,這也讓我們很自然的就會想到dedecms了。既然大家都用,那就上手吧。
在網站運行的頭一年裡,並沒有遇到入侵的問題,但是在最近的一年裡,遇到了3次,每次都讓我傷透了腦筋,反復的思考,到底是哪裡出現了問題,網上也是眾說紛纭,有的極端網友甚至是只上傳靜態網頁。那麼和大家分享一下我的三次人神共憤的經歷吧!
模板全部被修改,添加大量黑鏈代碼。我手忙腳亂,蒙圈了。
本人有個習慣,就是打開電腦後先查看網站訪問量,再看網站收錄情況,順便看看友鏈數目。那天晚上12點左右,就在我要關機休息的時候,又查了一下友鏈,突然發現很多陌生的網址,頁面上並沒有顯示,查看代碼發現,css設置隱藏。頓時困意全無,第一個就是懷疑是不是空間商搗鬼,空間商有24小時值班的工程師,電話咨詢後才知道是被入侵,建議我升級後台程序。
第一次被入侵,相當的慌張,擔心百度收錄的問題,還有關鍵字排名的問題。雖然之前網站有備份,但是在後台更改了一些模板代碼,導致了恢復之後,發現很多模板是修改前了,於是經過2個小時的折騰,終於恢復了,但是忘了更改網站title了,第二天才發現,又再次更改。這次對我的打擊很大,雖然百度收錄沒有減少,但是網站排名下降了。
因為網站空間無法在線更新dedecms,所以也就懶得手工更新,這恰恰是導致被入侵的主要原因。所以要及時更新後台程序。
首頁模板被修改,添加了4個關鍵字的單個網址,隱藏鏈接,並添加超級管理員。太囂張了!
雖然有了第一次的經歷,這次本不應該慌張,但是這厮居然添加了超級管理員,太囂張了。查看友鏈的網站,大多數也是被增加了隱藏鏈接。可能是通過這個渠道,注意到我的網站的吧,當然也可能是通過我的網站。關於添加超級管理員,我認為可能是會員注冊功能的漏洞,通過手工編寫的sql語句提交命令,獲取管理員帳號密碼。最新版已經修復了這個漏洞,但如果不用會員注冊,那麼還是禁用這個功能吧,步驟如:系統-系統基本參數-會員設置 是否開啟:否 即可。
首頁模板被修改,添加了3個關鍵字的單個網址,明鏈接。很是無奈!
第三次被入侵,很是無奈,但是還是要加強自檢,一定是後台出現了漏洞,這次將所有的密碼全部更新加強,包括空間密碼、數據庫密碼、後台登陸密碼,全部采用不同的密碼,並且采用數字+字母+標點格式。除此之外,更改後台默認的登陸路徑,原來是jieyitongtop.com/dede的路徑,現在將文件夾的命名復雜化,其次刪除install文件夾。這次的問題應該是我的ftp密碼簡單造成的,網上有個FTP密碼掃描軟件,可以直接掃出弱密碼,直接通過管理員登陸修改網站。所以要提高密碼安全。
為了避免網站被入侵,我總結一下,也是通過這些方面的提示,能夠得到您足夠的重視,也可以幫助您完善自己的網站。
1、同主機網站太多,存在旁注風險。
我的網站就存在這樣的問題,當初為了便宜,購買了之後發現同ip下有很多網站,這些網站只是在服務器不同的文件夾下,旁注的風險比較大,即使自己的程序密碼沒問題,也可能因為其它網站的木馬而感染。有條件的話,還是選擇比較專業的空間提供商吧,安全性有保障!
2、Dedecms程序,用不到的功能,建議刪除或者禁用。
這是入侵的重點,比如沒有刪除install文件夾,或者沒有更改默認的後台登陸路徑,還有就是會員注冊用不著,但是也沒有禁用等等。後台程序不是為你的網站量身定做的,是需要我們進一步修改完善的。
3、網站密碼在長度和復雜性方面都要加強。
密碼的安全性,是要引起我們足夠的重視的,再完美的程序,在密碼的面前也是無計可施的,密碼設置不好,一切都免談。
4、加強電腦的安全,不要在不安全的電腦上使用密碼。
密碼設置好了,保護不好,也是起不到安全的作用的,密碼洩露的危險是毀滅性的。使用自己的電腦,要及時的升級殺毒軟件,定時的殺毒檢測。
5、每天必查友鏈
站長工具可以查網站的友鏈,方便快捷,網站入侵的目的,大多都是為了增加黑鏈,通過查看友鏈就可以及時發現陌生的鏈接,及時的處理。
其實很多的問題都是可以避免的,但是因為大意,造成了這個問題頻發,所以還是需要我們及早的發現問題,加強自查。安全工作不是一蹴而就的事,需要我們及時的升級更新,同時也要加強防范的意識,做到防患於未然!
原創文章,轉載請注明出處:http://jieyitongtop.com/blog/index.php/archives/2481.htm
注:相關網站建設技巧閱讀請移步到建站教程頻道。
收藏本文