網(wǎng)站安全現(xiàn)狀:據(jù)360公司發(fā)布的統(tǒng)計(jì)顯示:國(guó)內(nèi)超過(guò)60%的網(wǎng)站存在漏洞、超過(guò)40%的網(wǎng)站存在后門(mén),互聯(lián)網(wǎng)上每天都在爆發(fā)站點(diǎn)被黑、植入木馬等攻擊事件。
黑客入侵對(duì)網(wǎng)站帶來(lái)的影響:網(wǎng)站被黑客掛馬、黑鏈、影響搜索引擎排名;被傳奇私服賭博等寄生網(wǎng)站侵占、產(chǎn)生大量的垃圾文件把空間占滿、消耗流浪;被安全防護(hù)軟件提示網(wǎng)站訪問(wèn)異常等。
對(duì)同服務(wù)器的其他客戶的影響:黑客通過(guò)木馬程序?qū)ν獍l(fā)DDOS攻擊,導(dǎo)致帶寬耗盡、CPU用完,嚴(yán)重影響服務(wù)器的穩(wěn)定性。
針對(duì)此種情況,新網(wǎng)建議虛擬主機(jī)客戶做好以下防范措施:
1. 設(shè)置安全的密碼(包括會(huì)員密碼、FTP密碼、郵箱密碼、數(shù)據(jù)庫(kù)密碼、后臺(tái)管理密碼等)原則如下:比較安全的密碼首先必須是8位長(zhǎng)度,其次必須包括大小寫(xiě)、 數(shù)字字母,如果有特殊字符最好,最后就是不要太常見(jiàn)。比如說(shuō):d9C&v6Q0這樣的密碼就是相對(duì)比較安全的,如果再堅(jiān)持每隔幾個(gè)月更換一次密碼,那就更安全了。另外,還要注意最好及時(shí)清空自己的臨時(shí)文件,在瀏覽網(wǎng)頁(yè)輸入密碼的時(shí)候不讓瀏覽器記住自己的密碼等。
2. 盡量不要使用無(wú)組件上傳,很容易被黑客利用上傳木馬,對(duì)網(wǎng)站進(jìn)行破壞,我們提供AspUpload、SAfileup上傳組件。
3. 盡量不要使用第三方在線編輯器,例如FckEditor(CKEditor)、EwebEditor等,這些在線編輯器中存在很多安全漏洞,如果必須使用請(qǐng)注意持續(xù)關(guān)注并及時(shí)更新至最新版本。
4. 網(wǎng)站后臺(tái)管理入口添加驗(yàn)證碼,避免黑客通過(guò)程序方式暴力破解。
5. 通過(guò)設(shè)置請(qǐng)求篩選(IIS7以上版本)可以限制請(qǐng)求的文件擴(kuò)展名、URL、HTTP謂詞、標(biāo)頭、查詢字符串,可以限制允許的最大內(nèi)容長(zhǎng)度、最大URL長(zhǎng)度、最大查詢字符串長(zhǎng)度等。
6. Access數(shù)據(jù)庫(kù)后綴不要用.mdb,建議用.asp/.asa,避免被黑客下載;數(shù)據(jù)庫(kù)名稱建議使用#開(kāi)頭,存放的目錄名稱建議復(fù)雜一些,避免黑客猜測(cè)到。
7. Windows虛擬主機(jī)可以通過(guò)編寫(xiě)web.config對(duì)上傳目錄限制腳本和執(zhí)行權(quán)限,即使上傳了程序也不能執(zhí)行。
8. 如果您使用了PHP程序,新網(wǎng)虛擬主機(jī)控制面板(CP.XINNET.COM)中提供了一些高風(fēng)險(xiǎn)函數(shù)的使用開(kāi)關(guān),如果您無(wú)需使用,請(qǐng)不要開(kāi)啟。
9. 我們的虛擬主機(jī)提供了FTP開(kāi)關(guān),默認(rèn)是關(guān)閉的,當(dāng)您上傳完程序后,建議您通過(guò)控制面板關(guān)閉FTP功能。