普通用户可能感觉不到,但是站长朋友们肯定知道,如果一个网站放置了一段时间,不管它是什么,当有一天你去看的时候,你可能会发现它已经被暂停了。事实上,网站被暂停是一种常见的现象,尤其是基于cms开发的网站。网站一旦挂载,就会给访问者和网站本身带来一些麻烦,比如:
1、网页上会出现一些恶意脚本,可能会弹出大量垃圾广告弹窗、跳转到不相关甚至非法网站、插入大量链接。页面死循环等,降低访问体验;
2、影响网站seo效果,降低百度排名,网站容易降级等;
3、非法修改网站源代码,甚至删除网站程序文件,造成数据丢失。
上面提到的这些有害后果,其实网站一旦挂载之后清理起来就非常麻烦,因为黑客已经破坏了你网站的源文件,并且在不止一处插入了恶意代码。
那么这些黑客是如何将恶意代码插入到我们的网站程序中的呢?
主要漏洞如下:
1、文件上传漏洞:比如上传页面没有验证上传文件的格式,导致上传动态脚本(比如直接上传php文件),上传页面没有验证权限,导致非法用户能够上传文件等;
2、表单数据未过滤漏洞:例如用户发布文章时,可以插入js、css代码,足以植入恶意脚本。这些js和css代码会在页面渲染时运行;
3、sql注入漏洞:存在sql注入点,黑客可以入侵数据库进行操作,严重时甚至删除数据库;
4、管理后台弱密码漏洞:部分管理后台账号密码过于简单(如admin)。只要猜一下,直接登录后台,就知道怎么操作了。如何操作
5、发现漏洞后,利用该漏洞向web程序中植入恶意代码,使用户访问网页后加载这些恶意代码,从而达到攻击者的目的。
既然我们知道了黑客恶意软件的大致流程,那么如何避免网站恶意软件呢?根据我十几年的运维经验,我提出一些建议供大家参考。
1、目前市面上的cms源代码已公开,因此0day漏洞较多。该漏洞公开后,只要找到这个cms搭建的网站,基本上就可以攻击成功,所以范围非常广。但如果我们的程序是我们自己开发的,攻击者不知道我们的源代码逻辑,那么攻击就会非常困难。如果是基于cms的网站,一定要关注官方补丁并及时修复。
2、在web开发领域,我们一直强调任何用户输入都是不可信的。获取用户提供的数据后,我们必须进行必要的验证(格式是否正确)和过滤(过滤一些敏感字符)。
3、过滤掉这些内容:js标签和代码、css标签和代码、html标签中的各种事件、单引号、双引号和sql关键字;
4、这一点非常重要。即使攻击者获得了上传漏洞,我们也只允许他们上传到特定目录。如果其他目录没有写权限,则不会被感染。上传的动态脚本如果没有执行权限将不会被执行。
5.将后台地址更改为无法猜测的地址。密码必须变得更复杂。
6、定期备份网站,然后检查是否有木马。现在杀毒软件可以检测并查杀网络木马。
跨屏网 - 电话:027-817-77732
一家专业的网站建设、制作、设计公司,拥有丰富的网站建设经验和大量的网站建设案例。主要从事集团品牌网站、电子商务网站、小程序的建设、制作和设计。开发、微信公众号开发及各类管理系统开发等服务。
写在最后,以上就是对于“网站建设过程中如何降低网站被挂的风险”的一些看法,欢迎指正、交流。
分享内容:网站建设过程中如何降低网站被挂的风险
当前链接:http://test.kuaping.com/article/show12544.html
做响应式网站,就上跨屏互联
关注公众号
027-817-77732
133-434-77732
027-81777732
