作为个人站长如何做安全,最近自己的几个网站老是发现有被黑的痕迹,然后程序被写满了脚本木马,清除起来异常麻烦。
而且一旦没有清除干净,不用过多久就被挂满黑链,每次都要重装cms或者wordpress。
我总结了一下我做的安全措施:
- 服务器只key登录,禁止密码登录
- 严格控制目录权限,让上传目录没有执行权限,其他目录做好写的权限。
- 定期检查新版,国内的几个cms漏洞太多了,被黑他们至少有一半的原因。
- 管理后台的账号密码尽量随机
- 不装不必要的插件,wordpress被黑很大原因是插件。
除了上诉措施,大家还做什么安全措施。
谢谢大家!
1、装个安全狗。2、用加速乐这种cdn。3、用安全监测工具扫一扫,把出来的问题修复了。
不要用国内的CMS这个绝对是重点啊...
另外不同的网站隔离运行,也有助防止恶化
安全狗这个对个人站长来说也算是比较好用的工具了,建议尝试一下,win/linux都有,IIS/apache也支持
- 空间或者主机关闭所有无用端口,启动自动更新补丁(windows)
- 服务器比较iis, tomcat, apache注意及时更新补丁
- 程序内部的更新代码(insert, update, delete等需要特别处理,防止sql注入攻击等等)
更多SQL注入工具处理。。。推荐看这篇:http://www.gbtags.com/technology/javautilities/20120411sqlinjectionguide/index.html
Last but not least, 及时备份数据和文件!!!!
对于 wordpress
没事干自己用wpscan先扫扫,把罗列出来的问题,解决了,那么很大程度上,可以减轻你的工作
为每个网站设置单独的数据库账号密码,
限制每个网站的 open_basedir:
fastcgi_param PHP_VALUE open_basedir="$document_root:/tmp";