WEB站点服务器安全配置

WEB站点服务器安全配置

 

本文转自：i春秋社区

 

//  概述

//  熟悉网站程序

//  更改默认设置的必要性

//  目录分析与权限设置技巧

//  防止攻击其余要素

//  公司官网不可忽视的安全性

//  尽量的防止没必要要的信息泄漏

一：概述

    圈内基本上都已经熟悉了黑产吧，如今攻击的门槛愈来愈低，黑产也愈来愈被人熟知。在巨大的经济利益的驱使下，天天

基本上有成百上千的网站被攻击，在网站安全没法彻底保障的状况下，在此编写此文仅为站长做为参考。

做为一名信息安全爱好者来讲，本人没法保证此文的可用性，正确性。

因此有错误的地方还望见谅并指出

   另外我发现论坛里全部资源里基本上全是攻击，渗透相关的。防护资源少的可怜。我但愿你们不要一味的去想着渗透，突破。

也得多考虑考虑如何去抵抗这个攻击，如何有效的，在资源消耗最低的状况下去防护。不是有一句话   ； " 在攻于防的对立中，寻找突破 "

么。

二：熟悉网站程序，以及目录权限设置

   在网站正式上线运行前，少不了的调试。我所说的调试不牢牢只是调试网站的功能，熟悉网站程序也是一个必不可少的步骤。

若是有代码功底的站长们能够看看网站程序的代码，了解网站每一个文件所实现的功能，这样在网站出现问题的时候也能快速的找

出问题所在！（本文主要站在无代码功底的站长角度上说网站安全）

在对于网站程序选择调试完成后最重要的一步来了，咱们须要了解整个目录结构，须要知道这个目录是作什么用的。好比（图： 1.1 ）：

（图1.1）

网站目录结构基本算是这样的吧，相关权限设置我也给出了按照这个图来设置权限能够抵抗大部分攻击了。

对于网站权限设置后，咱们还须要最重要的一步那就是修改程序的默认信息，好比默认后台，账号密码，默认数据库地址。

三：防止攻击其余要素

1 ）：sql注入攻击

对于 sql 注入攻击如今网络上已经出了各类 sql 通用防注入程序来抵抗了。我这里只简单说下用法。

asp 程序：防注入程序下载地址： http://code.google.com/p/defencesqlinject/  内附详细使用说明，这里就很少说了。

php 程序：代码地址： http://www.jb51.net/article/30079.htm  在公用文件好比 config.php 内 require_once 'nosql.php';

2 ）：文件上传攻击

   在作完第二步所提到的目录权限后基本上文件上传攻击已经能够避免 %70 以上了。

网站后台设置文件后缀白名单。 "jpeg,jpg,bmp,gif,png,rar,zip"  等非脚本后缀。

这里须要注意的就是网站程序所用到的编辑器。 ewebeditor  该编辑器请先登陆后台确认每一个样式文件后缀的正确性后

删除或者更名 admin_login.asp 文件   而后设置 db/ewebeditor.mdb  只读权限。

Fckeditor  编辑器这里请确认版本是否为最新版本否者升级，而后将上传目录设置拒绝执行权限。

3 ）: 弱口令攻击

   修改网站管理目录名称，修改 ftp  以及后台登陆密码（建议使用字母 + 数字 + 特殊字符的组合）若是条件容许就最好限制访问 IP.

尽量的不要暴露过多与该网站相关的信息。增强我的所使用账号密码。（最好别使用同一个密码）。    

 

声明：（ BBs.ichunqiu.com ）所发布的新闻均来源于互联网，目的在于传递信息，但不表明本站赞同其观点及立场，版权归属原做者，若有侵权请联系删除。 本文由中国Cold整理发布，转载请注明来自i春秋社区（BBS.ichunqiu.com）