互聯網創業成功之道(五)：網站防黑的安全小錦囊

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

網站建成後，維護和管理就成為了需要持續進行的工作。 在本章中，將對網站的內部連結優化、高效維護、PR的提升方式進行介紹。

一、優化網站的內部連結

二、網站高效維護三大常識

三、提高網站PageRank有妙招

四、網站交換連結 也要謹防假冒

五、反對低俗 禁止網站的違規內容

六、簡單配置 讓網站伺服器固若金湯

七、瞭解「蜘蛛」 提高網站收錄

八、巧妙加快網頁顯示速度

九、提高功能變數名稱PageRank的小技巧

十、避免雜亂 線上管理網站檔

十一、網站故障即時監測自動提醒

十二、為網站簡單添加搜索功能

以上內容詳細資訊可到「互聯網創業成功之道(五)：為網站簡單添加搜索功能」閱讀。

十三、網站防黑的安全小錦囊

個人站長最怕但也是最常遇到的，可能就是網站被入侵了。 由於大多數個人網站使用的程式都是公開的程式，所以往往更容易遭受攻擊。 不過，如果做到了以下幾點，網站安全性就會增強很多。

1.簡化功能 刪除多餘程式

一些網站喜歡使用程式外置的各種外掛程式，有的還是測試程式。 這些外掛程式存在不少問題，這樣一來，駭客就可以很容易地對網站進行旁注等入侵，導致網站安全存在極大的隱患。 因此建議網站在進行一些動易外掛程式測試之後，將不用的程式檔全部都刪除，以免對網站的正常運行造成危害。

使用網上發佈的建站程式，有一大好處就是會不斷地進行升級，建站程式的官方網站常常會有各種升級包發佈，或者專門針對某些程式漏洞發佈的補丁程式。 所以，經常在官方網站上下載補丁也是保障安全的一個方法。

小提示：

在下載建站程式的時候一定要到大型網站，並且要自行進行查毒後再上傳到伺服器上使用。

2.密碼防護 設置複雜的口令

設置複雜的帳號密碼是老生常談的話題，網站程式也是一樣，如果設置了足夠複雜的管理密碼，即使駭客通過下載資料庫得到了密碼的MD5資料，也很難對其進行轉換破解。 特別需要注意的是一般程式都有預設的原始密碼，往往很多站長會忽略。

設置了複雜的密碼，還需要注意保護個人的資訊，通常站長喜歡在網站上放上自己的郵寄地址，方便廣告商聯繫投放廣告，但是目前支付寶甚至網銀的交易等資訊都會在郵箱中保存。 很有可能會造成駭客使用社交工程學的方式套取資訊，從而破解密碼。

3.查補漏洞 讓網站堅不可摧

其它的方法還包括經常在程式官方網站下載補丁等，如果是使用伺服器的網站，則需要提高伺服器安全性，伺服器的許可權分配一定要仔細設置，這往往是很多站長容易忽略的問題，而且要注意務必要安裝所有的Windows更新補丁。

需要提醒大家的是，如果比如網站僅使用了單一的程式語言，如使用PHP+MySQL架構的建站程式，就可以在IIS應用程式佈建裡只留下對應的許可權。 另外，由於很多網頁木馬都是使用asa尾碼做為檔案名稱隱藏，所以如果我們不使用ASP程式，就一定要去掉asa選項。 對於使用虛擬主機系統的使用者，建議最好不要使用ASP、PHP語言都支援的全功能網站空間，而是選用單一腳本空間。

圖26

經過以上設置後，駭客就算破解了程式的管理帳號密碼進入網站後臺，也不能進行其它諸如提升許可權、種植木馬的惡意操作，也就不能進行更嚴重的破壞了。

十四、訪客查詢以及安全措施

1.查出訪問者IP位址

網站遇到駭客或者惡意訪問者怎麼辦，比如有人通過軟體將網站內容非法採集。 遭遇類似不懷好意的訪問者，就得浪費大量的時間。 即使真的想「固守陣地」也無法時刻呆在網站上。 怎麼辦，把網站一關了之?當然只是開玩笑罷了。 忍無可忍，無須再忍!看我的，幾步確定惡意流覽者的身份!

Tips：為何需要查出IP位址

IP位址是確定流覽者身份的重要資訊，它用於在TCP/IP通訊協定中標記每台電腦的位址。 即使目前的網路大多數情況下都是動態IP位址，但是動態IP位址由ICP分配，一樣受到了規範的管理，根據IP資訊公安部門仍然可以確定流覽者的具體方位。

要查詢網站流覽者的IP等資訊，可以通過很多種方法來完成，比如根據伺服器的IIS檔進行分析得出、使用專門的IP獲取工具查詢、或者是通過網站程式的功能實現。

其實可以用一種最簡單的方法，就是利用大多數網站都正在使用的統計程式。 一般來說由於很多網站都使用了類似統計功能，所以無需添加或改動任何網站檔，就可以直接使用。 因為統計程式最基本的一個功能，就是確定流覽者的IP位址等資訊。

第一步：如果還沒使用過任何統計，可以先進行統計服務的申請。 而後在網站的相應位置放置統計代碼。 要是早就已經用上統計程式，就可以跳過這一步驟了。

第二步：這裡就以51啦統計服務進行說明，登錄網站後臺後，點擊「線上使用者」欄目，將會顯示詳細的訪問者各項資訊，包括訪問入口、停留時間、離開的網頁等，可以根據留言的時間大致確定惡意流覽者的方位， 而後在訪問者清單中進行詳細的查找。

圖27 統計清單中的訪問者

第三步：確定惡意流覽者的IP位址後，可以點擊該位址，程式將顯示該訪問者的具體資訊，列舉了該IP的網路線路、來路、入口，甚至是電腦資訊，如系統版本、瀏覽器類型、螢幕解析度等詳細的參數。

圖28 某訪客的詳細資訊

為了使資訊更加精確，我們還可以把IIS伺服器的日誌檔結合起來進行分析，從而確定具體訪問者的流覽資訊，如幾分幾秒流覽過那個檔，而後又轉向那個網頁。 如此精確的資訊，還怕找不出「幕後黑手 」?!

2.決不手軟!遮罩流覽者存取權限

在查到了惡意流覽者的IP位址後，這時可以使用一些方法和技巧阻止惡意攻擊的行為，最好的方法就是禁止他的存取權限，只讓該IP位址無法流覽網站，那麼無論是採集還是惡意破壞都無法得逞，這樣一來我們的目的也就達到了。

小提示：

因為目前無論是寬頻還是其它的上網方式，大都是自動分配的動態IP，這樣一來遮罩單個IP的話可能就不起作用了。 但這些動態IP一般都只在一個網段中變化，也就是C類主機位址，可以將整個IP段遮罩掉。

(1)虛擬主機如何遮罩

登錄虛擬主機管理後臺，現在大多數虛擬主機管理系統都具備了設置拒絕訪問IP的功能，如圖所示進入相關設置頁面，而後按照文字提示輸入需要遮罩流覽的IP位址，確定提交後，就大功告成了。

圖29 設置虛擬主機拒絕訪問IP

(2)伺服器的設置方法

IIS中提供了IP限制的機制，可以以此來限制不能訪問網站的IP位址。 方法是：打開IIS的屬性，依次點選安全性→IP位址和功能變數名稱限制。 在彈出的介面中選擇「授權訪問」，而後添加需要遮罩的IP位址，最後確定即可。

經過以上設置後，相對應IP的訪問者在進入網站的時候，將出現HTTP錯誤403禁止訪問的提示。 這樣一來，就把惡意流覽者阻擋在「門外」啦。

十五、巧設網站許可權 拒絕駭客入侵

在網站運營的過程中，最令站長頭痛的的可能就是網站被入侵了，實際上，如果提前設置好網站的目錄許可權，就可以保證網站能夠經受大部分的漏洞攻擊。 而設置許可權的方法也並不難，本文介紹了設置檔目錄和資料庫許可權的方法，只要根據本文一步步進行操作，就可以大大的提高網站的安全性。

1.網站目錄許可權的設置方法

大多數網站都是採用程式搭建，對於系統管理的目錄，可以將其設置為可讀、也可執行腳本，但不可寫入的許可權;但是對於放置網頁靜態檔的目錄，以及放置圖片檔、範本檔的目錄，就可以將其設置為可讀寫，但無法執行的系統許可權。 在許可權分配明確之後，即使萬一系統被入侵，也只能流覽而無法對檔進行直接的操作。

圖30

對於能夠執行腳本的檔，最好設置只能讀而不能寫的許可權(圖)，而需要寫入的檔則將其設置為不能執行腳本，目錄許可權這樣配置下來，網站系統的安全性會大大提高。

2.資料庫許可權也要仔細設置

對於網站來說，資料庫可以說是網站的核心，所有網站的內容都存儲在資料庫中。 所以說資料庫安全也是需要注意的地方。 對於MySQL資料庫來說，最好不要對網站直接使用root管理使用者的許可權，而要專門為每個網站開通一個資料庫帳號，而且將帳戶的許可權設置僅限於操作當前資料庫目錄， 並且對這些單獨的MYSQL帳號去掉file和EXECUTE的執行許可權，這樣一來，即使資料庫被SQL注入，也只能到資料庫一級，而無法拿到整個資料庫伺服器的許可權。 這樣一來，只要經常對網站的資料庫進行備份，就很少會出現資料庫被入侵的情況。

另外需要注意的是，由於很多建站系統並沒有使用資料庫的預存程序，因此最好禁用 FILE、EXECUTE 等執行預存程序或檔操作的許可權。

小提示：對於Access的資料庫來說，可以將資料庫的存放位置進行修改，最好是較為隱蔽的目錄，這樣會避免資料庫檔案被惡意探測下載。 另外，一些程式也支援修改尾碼，比如可以將.mdb的資料庫檔案修改為.asa等尾碼名，同樣可以有效的保護資料庫安全。

3.刪除不需要的檔

很多內容管理系統中，都會在空間中存在很多以後並不需要的檔，最普遍的可能就屬於系統安裝檔了，這類檔通常被命名為install.php或者install.asp，如果你的空間中存在類似的檔，現在就趕快刪除吧。

另外，一些CMS也會存在很多功能，如問答系統等等，但是往往這些功能在網站中都不會用到，這時候就建議將這些功能的目錄刪除，或者僅保留html靜態頁面，然後將目錄設置為可讀寫但無法執行的許可權。

十六、拒絕「被黑」的安全預防

無論是大名鼎鼎的Windows作業系統，抑或應用廣泛的建站程式，都不可避免地會出現各種大大小小的安全性漏洞，常常會有駭客爆出各種建站程式的漏洞並同時發佈了漏洞利用工具。 面對這種情況，站長除了及時打好相應補丁做好應對措施以外，還應加強程式和伺服器的安全性。

目前大多數站長在建站時都是使用現成的網站程式，諸如ASP或PHP語言建站程式，雖然使用方便但也存在一定的安全隱患，不過只要我們提前做好安全防範，就能夠高枕無憂。

1.網站的安全預防

(1)將測試用過的程式檔刪除

一些網站喜歡使用程式外置的各種外掛程式，有的還是測試程式。 這些外掛程式存在不少問題，這樣一來，駭客就可以很容易地對網站進行旁注等入侵，導致網站安全存在極大的隱患。 因此建議網站在進行一些動易外掛程式測試之後，將不用的程式檔全部都刪除，以免對網站的正常運行造成危害。

(2)不要輕易用協力廠商外掛程式

很多CMS程式的協力廠商外掛程式很多，但是有些並不是官方人員開發的，這些程式有很多都存在漏洞，甚至有人故意在其中安放了很多惡意腳本。 所以建議不要輕易下載使用協力廠商程式的外掛程式。

(3)將Access資料庫改為SQL

Access在作為網站資料庫使用時存在著不足，諸如安全等問題一直不是很有保障，很容易被惡意下載。 可以考慮將網站的Access資料庫改為SQL資料庫，很多CMS程式的官方網站也提供了相應轉換程式的下載，使用SQL的資料庫網站的安全性會大大增強。

(4)經常在程式官方網站下載補丁

使用網上發佈的建站程式，有一大好處就是會不斷地進行升級，建站程式的官方網站常常會有各種升級包發佈，或者專門針對某些程式漏洞發佈的補丁程式。 所以，經常在官方網站上下載補丁也是保障安全的一個方法。

2.生於防範，死于疏忽

(1)管理檔案名巧修改

很多網站程式的管理後臺都使用預設的檔案名稱，例如admin等常用單詞很容易被猜解，類似的檔案名稱對網站的安全性只有害而無益，如果我們將檔案名改為複雜的字母組合， 比如將admin.php修改為endtoweb123.php等名稱，管理網站的時候直接輸入檔案名稱即可(如HTTP://www.你的功能變數名稱.com/endtoweb123.php)。 這樣做的好處就是，即使駭客破解了程式的管理帳號密碼，也無法登錄管理後臺，從而阻斷了駭客的入侵，也就不會造成更大的損失。

(2)加強管理帳號複雜度

設置複雜的帳號密碼是老生常談的話題，網站程式也是一樣，如果設置了足夠複雜的管理密碼，即使駭客通過下載資料庫得到了密碼的MD5資料，也很難對其進行轉換破解。 雖然複雜的密碼在使用時會顯得比較麻煩，但需要記住的是我們的偷懶只會方便了駭客。 字母+數位+符號是比較好的密碼組合。

(3)提高伺服器安全性

伺服器的安全設置方法眾多，所謂簡單就是實用，我們就以Windows2000系統為例進行說明。 其它Windows系統的設置方法也都大同小異。

第一步：依次點選「IIS檔安全性→檔安全性→匿名存取和安全控制」，在彈出的控制台中去掉「允許匿名存取」前的核取方塊，然後增加一個「集成Windows驗證」。 或者也可以把系統中的預設管理者帳戶禁用，另外再建立一個管理員帳戶使用。

第二步：如果網站僅使用了單一的程式語言，如使用PHP+MySQL架構的建站程式，就可以在IIS應用程式佈建裡只留下對應的檔。 另外，由於很多網頁木馬都是使用asa尾碼做為檔案名稱隱藏，所以如果我們不使用ASP程式，就一定要去掉asa選項。 對於那些使用虛擬主機系統的使用者，建議最好不要使用ASP、PHP語言都支援的全功能網站空間，而是選用聲譽較高的IDC提供的單一腳本空間。

第三步：伺服器的許可權分配一定要仔細設置，這往往是很多站長容易忽略的問題，而且要注意務必要安裝所有的Windows更新補丁。

經過以上設置後，駭客就算破解了程式的管理帳號密碼進入網站後臺，也不能進行其它諸如提升許可權、種植木馬的惡意操作，也就不能進行更嚴重的破壞了。

敬請關注第五章其他段落：

十七、亡羊補牢 網站被黑後的處理方法

十八、讓網站無損過渡的操作方法

十九、網站的資料庫備份與管理

相關連結：

互聯網創業成功之道(四)：完善功能 讓網站更易用

《互聯網創業成功之道：網站策劃、建設、推廣盈利實戰攻略》是一本全面講解網站建設全過程的一本書籍，也是作者五年以來建站經驗的總結。

本書圍繞網站建設的全過程展開，從網站策劃開始，逐一講解了網站創建、網站內容管理、網站維護、網路行銷方案、網站SEO、網站盈利技巧等實際操作，並以實例的形式為大家介紹了成功的網路創業案例和網站運營中的誤區， 讓大家可以學習最直接的建站經驗。

A5站長網將連載本書，如果您想搶先閱讀，可到卓越網等網上書店購買，該書在全國各地新華書店亦有銷售。

作者：陶秋豐(EndTo) 出版社： 電腦報電子音像出版社。