poluoluo.Com提示:黑客可能采用很多不同方式攻擊您的網站,也采用多種方法惡意利用無辜的網站。當黑客能夠完全控制一個網站時,他們可以把主頁徹底更換掉,清除所有的內容,插入惡意軟件或Cookie盜取程序。
最近,很多網站都在建設各種網絡應用軟件,以期為用戶提供更好的服務,這其中尤以各種創建、編輯和管理內容的應用軟件為多。這些系統提供了很多基於用戶輸入信息的強大互動特性,值得注意的是,考慮安全問題,避免第三方的惡意攻擊並確保最佳的用戶體驗也變得更為重要。在數據輸入和數據庫端之間創建一個“層”,以避免應用程序代碼被直接植入惡意字符。
一些有關CMSs安全的資源
SQL植入和跨站點腳本只不過是黑客用來攻擊和利用無辜網站的多種技術中的其中兩種。作為一般的安全准則,在網絡安全問題上特別是在使用第三方軟件時,一直保持更新以確保您安裝了最新版本的軟件是非常重要的。許多圍繞大型建站社區建設的網絡應用程序都提供持續的支持和軟件升級。
下面舉個例子,開放源碼內容管理系統的最大的四個社區——Joomla, WordPress, PHP-Nuke 和 Drupa都在他們的網站上提供關於網絡安全方面的知識並且設有大型社區驅動論壇,用戶可以提出問題或尋求支持。例如,在Hardening WordPress,WordPress提供了如何加強CMS安全的綜合性幫助文件。 Joomla提供了許多有關網絡安全的資源,特別是其中的網絡安全檢查清單,這些操作都是網絡管理員應該采用的。
一些識別黑客攻擊您網站的方法:
如上所述,黑客可能采用很多不同方式攻擊您的網站,也采用多種方法惡意利用無辜的網站。當黑客能夠完全控制一個網站時,他們可以把主頁徹底更換掉,清除所有的內容(刪除您的數據庫表),插入惡意軟件或Cookie盜取程序。他們還可以利用您的網站制造網絡垃圾,比如在您的網站隱藏指向垃圾網頁的鏈接或建立重定向到惡意軟件網站的頁面。當變化很明顯(比如主頁被更換)時 ,您可以輕松地辨別出黑客攻擊,但對於其他類型的攻擊,特別是那些帶有制造網絡垃圾意圖的攻擊,就比較不易被人察覺。谷歌提供了一些產品和方法,幫助網站管理員發現自己的網站是否未經許可而被第三方攻擊或更改。例如,通過使用谷歌搜索,您可以檢查黑客是否將特定的惡意關鍵詞添加到您的網站,並能找出您網站上被攻擊的具體網頁。打開google.cn/,用[site:domain name]來搜索您的網站,查看黑客是否把一些常用的網絡垃圾關鍵詞添加到了您的網站(如偉哥, 色情, MP3, 賭博等) :
[site:example.com 垃圾關鍵詞]
如果您還不熟悉 site: 搜索操作符,這是一個通過將搜索范圍限定到特定網站來使用谷歌搜索的途徑。例如,搜索site:googleblog.blogspot.com只會返回來自谷歌官方博客的搜索結果。當在這種查詢中添加一些垃圾關鍵詞時,谷歌將返回所有該網站中包含這些垃圾關鍵字的網頁,而這些網頁都很有可能已經遭受攻擊。要檢查這些可疑的網頁,只需打開谷歌網頁快照,您就能發現這些黑客行為。然後,您可以清除這些網頁被攻擊的部分,並檢查服務器配置文件中是否有異常情況(例如Apache網絡服務器:htaccess文件和httpd.conf文件)。
如果您的網站已不出現在谷歌的搜索結果中,這可能意味著谷歌已在您的網站上發現由黑客攻擊導致的垃圾網頁,並很可能因為這些網頁違反了我們網站管理員質量指南而已暫時將它們從我們的索引中移除。
為了不斷留意是否有可疑關鍵字在您的網站上出現,您也可以使用谷歌快訊來監測類似的搜索查詢:
site: example.com 某色情詞匯 或 某賭博詞匯 或 "手機鈴聲"等熱門詞匯
當這些關鍵詞出現在您網站內容中時,您會收到一封提醒郵件。
您還可以使用谷歌網站管理員工具來檢查您網站中的任何黑客行為。網站管理員工具為您的網站提供熱門搜索查詢的統計信息。這些數據將幫助您監測那些將用戶帶到您網站的熱門搜索查詢是否是那些可疑的、無關的垃圾關鍵詞。“Googlebot看到的"的數據也十分有用,在這裡您可以觀察谷歌是否探查到您網站中任何異常的關鍵詞,無論這些關鍵詞是不是把用戶帶到您網站的熱門關鍵詞。
如果您有網站管理員工具賬戶,當谷歌認為您的網站已經被黑客入侵時,按被攻擊類型的不同,您會收到相應的通知:
我們希望這些建議對您有所幫助,也歡迎您分享自己的意見或經驗,謝謝!