网站安全现状:据360公司发布的统计显示:国内超过60%的网站存在漏洞、超过40%的网站存在后门,互联网上每天都在爆发站点被黑、植入木马等攻击事件。
黑客入侵对网站带来的影响:网站被黑客挂马、黑链、影响搜索引擎排名;被传奇私服赌博等寄生网站侵占、产生大量的垃圾文件把空间占满、消耗流浪;被安全防护软件提示网站访问异常等。
对同服务器的其他客户的影响:黑客通过木马程序对外发DDOS攻击,导致带宽耗尽、CPU用完,严重影响服务器的稳定性。
针对此种情况,新网建议虚拟主机客户做好以下防范措施:
1. 设置安全的密码(包括会员密码、FTP密码、邮箱密码、数据库密码、后台管理密码等)原则如下:比较安全的密码首先必须是8位长度,其次必须包括大小写、 数字字母,如果有特殊字符最好,最后就是不要太常见。比如说:d9C&v6Q0这样的密码就是相对比较安全的,如果再坚持每隔几个月更换一次密码,那就更安全了。另外,还要注意最好及时清空自己的临时文件,在浏览网页输入密码的时候不让浏览器记住自己的密码等。
2. 尽量不要使用无组件上传,很容易被黑客利用上传木马,对网站进行破坏,我们提供AspUpload、SAfileup上传组件。
3. 尽量不要使用第三方在线编辑器,例如FckEditor(CKEditor)、EwebEditor等,这些在线编辑器中存在很多安全漏洞,如果必须使用请注意持续关注并及时更新至最新版本。
4. 网站后台管理入口添加验证码,避免黑客通过程序方式暴力破解。
5. 通过设置请求筛选(IIS7以上版本)可以限制请求的文件扩展名、URL、HTTP谓词、标头、查询字符串,可以限制允许的最大内容长度、最大URL长度、最大查询字符串长度等。
6. Access数据库后缀不要用.mdb,建议用.asp/.asa,避免被黑客下载;数据库名称建议使用#开头,存放的目录名称建议复杂一些,避免黑客猜测到。
7. Windows虚拟主机可以通过编写web.config对上传目录限制脚本和执行权限,即使上传了程序也不能执行。
