无锡网站优化必备技能之网站安全防护

一：网站脚本分类：

网站建设的脚本类型很多，常见的有：html、asp、php、jsp、aspx等。其中常见的有asp、php等动态脚本语言，可以说80%的互联网网站都是用这两种做的，论安全性楼主觉得都没有完美的安全可言，但如果一定要分清楚的话，就是：jsp>aspx>php>asp。好，根据不同脚本的分类，楼主列举几个常见的cms，楼主先用php脚本做例子，asp很多年不用了，忘记有啥比较出名的cms了。

博客cms：wp、zb、mb；

论坛：dz、phpwind；

新闻发布系统：dedecms、phpcms、帝国cms、php168等；

好，我们可以试着去这些cms的官网下载一套程序，然后本地使用php环境进行搭建，这里需要用到sql，需要数据库安装。那么重点在这里不是教大家怎么做站的，从各大cms来引出如何被黑掉的。因为这些cms不是自己一手写出来的，所以多少有些地方存在漏洞，而这些漏洞足以让所谓的黑客黑掉这些站。楼主也先不讲cms漏洞的形成，因为每种cms代码都不一样，而且今天也不讲代码。。。

二：常见入侵手法

正是因为网络上有大部分人在使用各种cms做站，方便快捷。但是会形成危险程度，假如某一个cms被爆了漏洞，那么使用这个cms的成千上万的网站，就会遭殃。事实上比较常见的比如：dz、dedecms（漏洞之王）。而cms的漏洞我们一般称之为：0day；这些0day网络一搜一大堆，但是出补丁的速度也很快：

。也许一段代码、一个自动攻击就可以获取网站权限：**常见的入侵手法有：0day ；sql注入；弱口令；文件上传；敏感路径；旁注；等******

（由于篇幅限制，楼主对这些手入侵法暂时一提，如果有时间可以一一讲解）

三.常见利用手法

那这些黑客们是怎么利用我们的网站的呢，先通过网站漏洞入侵到网站，需要有一个获取权限的东西，我们一般称之为：webshell（可能有的小伙伴听过，没听过的可以百度一下呀~）然后通过这个webshell进行网站文件的各种操作，webshell其实就是一个动态的脚本文件，这不过这个文件具有一些文件管理等等功能，上个图吧：

aspwebshell

Phpwebshell：

获取webshell，至于怎么获取webshell，没有统一的手法，终的目的是把这些具有管理功能的动态脚本上传的网站里面才可以进入下一步操作。通常在黑客的话里面，这个过程被叫做：渗透！好，这里我们也不讲怎么获取webshell，怎么入侵。在获取权限之后，就可以进行一系列你想要的操作，比如：

1.黑链 （在网站页挂隐藏链接，表面看不到，劫持权重）

2.ddos （上传一些带有发包功能的脚本，消耗服务器资源，通常被称为拒绝服务式攻击。）

3.各种劫持（快照、栏目 等等）

4.挂马（在页什么地方，挂一个木马，打开即中招。然后电脑变成“肉鸡”）

5.流量等（比如用你的权重做一些什么词的流量。。黑帽seo等）

6..脱裤（把sql数据库导出本地，获取大量会员信息密码）等等。。

网站怎么利用完全看入侵者的意图，不止这些，如果楼主说句实话的话，黑产牟利中这些只是冰山一角

四.如何更好的防御

好了，讲到这里，大家都明白网站安全到底有多重要了吧，小伙伴们是不是要抽点时间恶补一下呢，比如近经常看到搜外上有人在问：页面被劫持、网站域名被泛解析了（这种一般是获取了域名的解析权限）等，我们知道原理之后，下一步重要的就是如何做好防护措施。根据不同的需要大家可以进行选择性的防御，楼主举几个例子，但不仅限于这些（ps：楼主才不是专业的搞维护的呢，楼主只是一个做seo的。）：

1.cdn加速（国内常见的有百度加速乐、安全宝、360cdn等，cdn加速可有效的防御攻击软件的自动扫描，隐藏源ip。并且目前都各自带有恶意代码攻击防御，是小菜必备的东西）

2.及时升级各大cms补丁（这个肯定是必须必须要及时做的事情。。）

3.服务器安装安全狗、d盾之类的专业防护软件(有效截断各自攻击。。主流的~)

4.有些情况下，黑客们可以绕过cdn、防护软件的防御，在网站上面留下后门文件，非常隐秘，此时我们只能找一些专业webshell查杀攻击，比如啊dwebshell查杀，（啊d哥做的，专业三十载！）

5.然后就是，可以把自己网站的一些敏感目录，比如data 、admin设置为高权限访问，只有自己才能访问，要不就没事不更新文章的时候，做一个写入权限。就算有漏洞也写不进去代码。有的空间控制面板中还带有禁止某些脚本运行的功能，可谓十分强大，这些小伙伴们自己有时间了可以看看