互联网创业成功之道(五)：网站防黑的安全小锦囊

时间：2023-01-18 07:40:02 | 来源：电子商务

时间：2023-01-18 07:40:02 来源：电子商务

网站建成后，维护和管理就成为了需要持续进行的工作。在本章中，将对网站的内部链接优化、高效维护、PR的提升方式进行介绍。

一、优化网站的内部链接

二、网站高效维护三大常识

三、提高网站PageRank有妙招

四、站点交换链接 也要谨防假冒

五、反对低俗 禁止网站的违规内容

六、简单配置 让网站服务器固若金汤

七、了解“蜘蛛” 提高网站收录

八、巧妙加快网页显示速度

九、提高域名PageRank的小技巧

十、避免杂乱 在线管理网站文件

十一、网站故障实时监测自动提醒

十二、为网站简单添加搜索功能

以上内容详细信息可到“互联网创业成功之道(五)：为网站简单添加搜索功能”阅读。

十三、网站防黑的安全小锦囊

个人站长最怕但也是最常遇到的，可能就是网站被入侵了。由于大多数个人网站使用的程序都是公开的程序，所以往往更容易遭受攻击。不过，如果做到了以下几点，网站安全性就会增强很多。

1.简化功能 删除多余程序

一些网站喜欢使用程序外置的各种插件，有的还是测试程序。这些插件存在不少问题，这样一来，黑客就可以很容易地对网站进行旁注等入侵，导致网站安全存在极大的隐患。因此建议网站在进行一些动易插件测试之后，将不用的程序文件全部都删除，以免对网站的正常运行造成危害。

使用网上发布的建站程序，有一大好处就是会不断地进行升级，建站程序的官方网站常常会有各种升级包发布，或者专门针对某些程序漏洞发布的补丁程序。所以，经常在官方网站上下载补丁也是保障安全的一个方法。

小提示：

在下载建站程序的时候一定要到大型网站，并且要自行进行查毒后再上传到服务器上使用。

2.密码防护 设置复杂的口令

设置复杂的帐号密码是老生常谈的话题，网站程序也是一样，如果设置了足够复杂的管理密码，即使黑客通过下载数据库得到了密码的MD5数据，也很难对其进行转换破解。特别需要注意的是一般程序都有默认的原始密码，往往很多站长会忽略。

设置了复杂的密码，还需要注意保护个人的信息，通常站长喜欢在网站上放上自己的邮件地址，方便广告商联系投放广告，但是目前支付宝甚至网银的交易等信息都会在邮箱中保存。很有可能会造成黑客使用社会工程学的方式套取信息，从而破解密码。

3.查补漏洞 让网站坚不可摧

其它的方法还包括经常在程序官方网站下载补丁等，如果是使用服务器的网站，则需要提高服务器安全性，服务器的权限分配一定要仔细设置，这往往是很多站长容易忽略的问题，而且要注意务必要安装所有的Windows更新补丁。

需要提醒大家的是，如果比如网站仅使用了单一的程序语言，如使用PHP+MySQL架构的建站程序，就可以在IIS应用程序配置里只留下对应的权限。另外，由于很多网页木马都是使用asa后缀做为文件名称隐藏，所以如果我们不使用ASP程序，就一定要去掉asa选项。对于使用虚拟主机系统的用户，建议最好不要使用ASP、PHP语言都支持的全功能网站空间，而是选用单一脚本空间。

图26

经过以上设置后，黑客就算破解了程序的管理帐号密码进入网站后台，也不能进行其它诸如提升权限、种植木马的恶意操作，也就不能进行更严重的破坏了。

十四、访客查询以及安全措施

1.查出访问者IP地址

网站遇到黑客或者恶意访问者怎么办，比如有人通过软件将网站内容非法采集。遭遇类似不怀好意的访问者，就得浪费大量的时间。即使真的想“固守阵地”也无法时刻呆在网站上。怎么办，把网站一关了之?当然只是开玩笑罢了。忍无可忍，无须再忍!看我的，几步确定恶意浏览者的身份!

Tips：为何需要查出IP地址

IP地址是确定浏览者身份的重要信息，它用于在TCP/IP通讯协议中标记每台计算机的地址。即使目前的网络大多数情况下都是动态IP地址，但是动态IP地址由ICP分配，一样受到了规范的管理，根据IP信息公安部门仍然可以确定浏览者的具体方位。

要查询网站浏览者的IP等信息，可以通过很多种方法来完成，比如根据服务器的IIS文件进行分析得出、使用专门的IP获取工具查询、或者是通过网站程序的功能实现。

其实可以用一种最简单的方法，就是利用大多数网站都正在使用的统计程序。一般来说由于很多网站都使用了类似统计功能，所以无需添加或改动任何网站文件，就可以直接使用。因为统计程序最基本的一个功能，就是确定浏览者的IP地址等信息。

第一步：如果还没使用过任何统计，可以先进行统计服务的申请。而后在网站的相应位置放置统计代码。要是早就已经用上统计程序，就可以跳过这一步骤了。

第二步：这里就以51啦统计服务进行说明，登录网站后台后，点击“在线用户”栏目，将会显示详细的访问者各项信息，包括访问入口、停留时间、离开的网页等，可以根据留言的时间大致确定恶意浏览者的方位，而后在访问者列表中进行详细的查找。

图27 统计列表中的访问者

第三步：确定恶意浏览者的IP地址后，可以点击该地址，程序将显示该访问者的具体信息，列举了该IP的网络线路、来路、入口，甚至是电脑信息，如系统版本、浏览器类型、屏幕分辨率等详细的参数。

图28 某访客的详细信息

为了使信息更加精确，我们还可以把IIS服务器的日志文件结合起来进行分析，从而确定具体访问者的浏览信息，如几分几秒浏览过那个文件，而后又转向那个网页。如此精确的信息，还怕找不出“幕后黑手 ”?!

2.决不手软!屏蔽浏览者访问权限

在查到了恶意浏览者的IP地址后，这时可以使用一些方法和技巧阻止恶意攻击的行为，最好的方法就是禁止他的访问权限，只让该IP地址无法浏览网站，那么无论是采集还是恶意破坏都无法得逞，这样一来我们的目的也就达到了。

小提示：

因为目前无论是宽带还是其它的上网方式，大都是自动分配的动态IP，这样一来屏蔽单个IP的话可能就不起作用了。但这些动态IP一般都只在一个网段中变化，也就是C类主机地址，可以将整个IP段屏蔽掉。

(1)虚拟主机如何屏蔽

登录虚拟主机管理后台，现在大多数虚拟主机管理系统都具备了设置拒绝访问IP的功能，如图所示进入相关设置页面，而后按照文字提示输入需要屏蔽浏览的IP地址，确定提交后，就大功告成了。

图29 设置虚拟主机拒绝访问IP

(2)服务器的设置方法

IIS中提供了IP限制的机制，可以以此来限制不能访问网站的IP地址。方法是：打开IIS的属性，依次点选安全性→IP地址和域名限制。在弹出的界面中选择“授权访问”，而后添加需要屏蔽的IP地址，最后确定即可。

经过以上设置后，相对应IP的访问者在进入网站的时候，将出现HTTP错误403禁止访问的提示。这样一来，就把恶意浏览者阻挡在“门外”啦。

十五、巧设网站权限 拒绝黑客入侵

在网站运营的过程中，最令站长头痛的的可能就是网站被入侵了，实际上，如果提前设置好网站的目录权限，就可以保证网站能够经受大部分的漏洞攻击。而设置权限的方法也并不难，本文介绍了设置文件目录和数据库权限的方法，只要根据本文一步步进行操作，就可以大大的提高网站的安全性。

1.网站目录权限的设置方法

大多数网站都是采用程序搭建，对于系统管理的目录，可以将其设置为可读、也可执行脚本，但不可写入的权限;但是对于放置网页静态文件的目录，以及放置图片文件、模板文件的目录，就可以将其设置为可读写，但不可执行的系统权限。在权限分配明确之后，即使万一系统被入侵，也只能浏览而无法对文件进行直接的操作。

图30

对于能够执行脚本的文件，最好设置只能读而不能写的权限(图)，而需要写入的文件则将其设置为不能执行脚本，目录权限这样配置下来，网站系统的安全性会大大提高。

2.数据库权限也要仔细设置

对于网站来说，数据库可以说是站点的核心，所有网站的内容都存储在数据库中。所以说数据库安全也是需要注意的地方。对于MySQL数据库来说，最好不要对网站直接使用root管理用户的权限，而要专门为每个站点开通一个数据库帐号，而且将账户的权限设置仅限于操作当前数据库目录，并且对这些单独的MYSQL帐号去掉file和EXECUTE的执行权限，这样一来，即使数据库被SQL注入，也只能到数据库一级，而无法拿到整个数据库服务器的权限。这样一来，只要经常对网站的数据库进行备份，就很少会出现数据库被入侵的情况。

另外需要注意的是，由于很多建站系统并没有使用数据库的存储过程，因此最好禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

小提示：对于Access的数据库来说，可以将数据库的存放位置进行修改，最好是较为隐蔽的目录，这样会避免数据库文件被恶意探测下载。另外，一些程序也支持修改后缀，比如可以将.mdb的数据库文件修改为.asa等后缀名，同样可以有效的保护数据库安全。

3.删除不需要的文件

很多内容管理系统中，都会在空间中存在很多以后并不需要的文件，最普遍的可能就属于系统安装文件了，这类文件通常被命名为install.php或者install.asp，如果你的空间中存在类似的文件，现在就赶快删除吧。

另外，一些CMS也会存在很多功能，如问答系统等等，但是往往这些功能在网站中都不会用到，这时候就建议将这些功能的目录删除，或者仅保留html静态页面，然后将目录设置为可读写但不可执行的权限。

十六、拒绝“被黑”的安全预防

无论是大名鼎鼎的Windows操作系统，抑或应用广泛的建站程序，都不可避免地会出现各种大大小小的安全漏洞，常常会有黑客爆出各种建站程序的漏洞并同时发布了漏洞利用工具。面对这种情况，站长除了及时打好相应补丁做好应对措施以外，还应加强程序和服务器的安全性。

目前大多数站长在建站时都是使用现成的网站程序，诸如ASP或PHP语言建站程序，虽然使用方便但也存在一定的安全隐患，不过只要我们提前做好安全防范，就能够高枕无忧。

1.网站的安全预防

(1)将测试用过的程序文件删除

一些网站喜欢使用程序外置的各种插件，有的还是测试程序。这些插件存在不少问题，这样一来，黑客就可以很容易地对网站进行旁注等入侵，导致网站安全存在极大的隐患。因此建议网站在进行一些动易插件测试之后，将不用的程序文件全部都删除，以免对网站的正常运行造成危害。

(2)不要轻易用第三方插件

很多CMS程序的第三方插件很多，但是有些并不是官方人员开发的，这些程序有很多都存在漏洞，甚至有人故意在其中安放了很多恶意脚本。所以建议不要轻易下载使用第三方程序的插件。

(3)将Access数据库改为SQL

Access在作为网站数据库使用时存在着不足，诸如安全等问题一直不是很有保障，很容易被恶意下载。可以考虑将网站的Access数据库改为SQL数据库，很多CMS程序的官方网站也提供了相应转换程序的下载，使用SQL的数据库网站的安全性会大大增强。

(4)经常在程序官方网站下载补丁

使用网上发布的建站程序，有一大好处就是会不断地进行升级，建站程序的官方网站常常会有各种升级包发布，或者专门针对某些程序漏洞发布的补丁程序。所以，经常在官方网站上下载补丁也是保障安全的一个方法。

2.生于防范，死于疏忽

(1)管理文件名巧修改

很多网站程序的管理后台都使用默认的文件名称，例如admin等常用单词很容易被猜解，类似的文件名称对网站的安全性只有害而无益，如果我们将文件名改为复杂的字母组合，比如将admin.php修改为endtoweb123.php等名称，管理网站的时候直接输入文件名称即可(如.你的域名.com/endtoweb123.php)。这样做的好处就是，即使黑客破解了程序的管理账号密码，也无法登录管理后台，从而阻断了黑客的入侵，也就不会造成更大的损失。

(2)加强管理账号复杂度

设置复杂的账号密码是老生常谈的话题，网站程序也是一样，如果设置了足够复杂的管理密码，即使黑客通过下载数据库得到了密码的MD5数据，也很难对其进行转换破解。虽然复杂的密码在使用时会显得比较麻烦，但需要记住的是我们的偷懒只会方便了黑客。字母+数字+符号是比较好的密码组合。

(3)提高服务器安全性

服务器的安全设置方法众多，所谓简单就是实用，我们就以Windows2000系统为例进行说明。其它Windows系统的设置方法也都大同小异。

第一步：依次点选“IIS文件安全性→文件安全性→匿名访问和安全控制”，在弹出的控制面板中去掉“允许匿名访问”前的复选框，然后增加一个“集成Windows验证”。或者也可以把系统中的默认管理员账户禁用，另外再建立一个管理员账户使用。

第二步：如果网站仅使用了单一的程序语言，如使用PHP+MySQL架构的建站程序，就可以在IIS应用程序配置里只留下对应的文件。另外，由于很多网页木马都是使用asa后缀做为文件名称隐藏，所以如果我们不使用ASP程序，就一定要去掉asa选项。对于那些使用虚拟主机系统的用户，建议最好不要使用ASP、PHP语言都支持的全功能网站空间，而是选用声誉较高的IDC提供的单一脚本空间。

第三步：服务器的权限分配一定要仔细设置，这往往是很多站长容易忽略的问题，而且要注意务必要安装所有的Windows更新补丁。

经过以上设置后，黑客就算破解了程序的管理账号密码进入网站后台，也不能进行其它诸如提升权限、种植木马的恶意操作，也就不能进行更严重的破坏了。

敬请关注第五章其他段落：

十七、亡羊补牢 网站被黑后的处理方法

十八、让网站无损过渡的操作方法

十九、网站的数据库备份与管理

相关链接：

互联网创业成功之道(四)：完善功能 让网站更易用

《互联网创业成功之道：网站策划、建设、推广盈利实战攻略》是一本全面讲解网站建设全过程的一本书籍，也是作者五年以来建站经验的总结。

本书围绕网站建设的全过程展开，从网站策划开始，逐一讲解了网站创建、网站内容管理、网站维护、网络营销方案、网站SEO、网站盈利技巧等实际操作，并以实例的形式为大家介绍了成功的网络创业案例和网站运营中的误区，让大家可以学习最直接的建站经验。

A5站长网将连载本书，如果您想抢先阅读，可到卓越网等网上书店购买，该书在全国各地新华书店亦有销售。

作者：陶秋丰(EndTo) 出版社： 电脑报电子音像出版社。