如何做好网站安全工作

第一，服务器安全。我 们大部分站长都是用的虚拟主机，有些人说这我们没有办法去选择和解决，我认为这个还是可以解决的。我们在购买主机的时候，可以试用几天，一般主机商都是可 以提供试用服务的，也或者要求主机商提供销售主机的IP给我们，我们可以通过同IP网站以及相关网站来分析目前服务器中的网站安全情况，如果你发现很多网站都被挂有黑链接，那说明服务器安全有一定的问题，选择的时候慎重考虑。

第二，程序的安全设置。我们需要根据织梦官方的设置要求，不要开放所有文件及文件夹的读写权限，有些文件夹设置

为只读状态，如果我们紧紧是用来做内容系统，而不让会员参与，我们可以删除MEMBER文件夹，因为很多安全都是通过会员的提权出现的。以及我们在程序安

装完毕后，要删除install文件夹，在设置数据库密码以及账户密码的时候尽量复杂一些，采用数字，大小写字母，以及字符混合作为密码。网站后台路径把

默认的DEDE修改成其他不容易猜测的。

第三，及时升级补丁。作为织梦官网，升级也是经常在做的，我们在登陆网站后台的时候，如果看到有升级提醒，需要及时升级文件，以防止因为没有升级造成漏洞入侵。一般常见的安全，官网会第一时间发现，并且提供补丁，这点如果我们及时做到，从网站角度考虑是没有问题的。

第四，密码设置安全。不论是我们网站的密码还是数据库密码，或者是FTP登陆密码，我们都需要设置安全一些。一个主机商朋友告诉我，最近出了一款什么FTP密码扫描软件，可以直接扫出弱密码，直接通过管理员登陆修改网站。

第五，定期数据备份。关于网站的安全，备份肯定每个人都知道，每个人也都会去备份。可能开始做网站的时候还会认

真定期备份，后面时间长了就忘记了，也懒得备份。等待网站出现问题

就后悔为什么没有备份。所以定期备份数据是任何网站都必须做的，比仅仅是DEDECMS，一般最好半个月或者一个月备份一次，根据自己网站数据和重要性。

有些主机商会帮助我们备份，比如一周备份一次，也有每天同步备份的，这就相当不错了。

以上5点建议，是我认为有效防止DEDECMS被入侵的5个有效方法，希望对大家有一个参考价值。

网站作为互联网核心，通过数据驱动(用户产生业务，业务产生数据)，我们想要提高网站安全性，先要明白有那些因素会影响到网站的安全问题。清楚网站的安全性三要素变得非常重要：1机密性、2完整性、3可用性如：Dos攻击会降低可用性。网站管理除了服务器防火墙，在做好网站防护的时候，要对数据重要性做安全等级划分。

网站数据安全评估过程：

1资产等级划分、确定所需保护的目标、最重要的资产、最重要的数据、客户数据;员工资料;信任域/信任边界：DB--WebServer--Internet

2威胁分析

威胁(Threat)：可能造成危害的来源、伪装(Spoofing)：冒充他人身份---认证、篡改(Tampering)：修改数据or代码---完整性、抵赖(Repudiation)：否认做过的事情---不可抵赖性、信息泄露(InformationDisclosure)：机密信息泄露---机密性、拒绝服务(DenialofService)：拒绝服务---可用性、提升权限(PrivilegeEscalation)：未经授权获得许可---授权。

一、网站模板程序不够安全

大多数网站喜欢下载模板后直接使用，这样的网站程序存在漏洞是不可避免的，所以想要提高网站安全性，想要确保网站后台cms系统安全性，网站后台开发外包给专业团队还是很有必要的。就算是前期使用公共平台模板，也要注意以下两点：

①不要选择知名度不高的网站程序源码，这类源码一般无人去进行程序的开发和维护，网站极易出现漏洞，被入侵的可能性大大增加。所以在选择的时候，尽量选择知名度较高的开源程序。

②选择知名的建站CMS系统，如：DEDECMS、动易CMS、ECSHOP等免费开源程序，由于此类开源程序使用者较多，网站很容易出现新的漏洞，我们要根据后台提示，及时的进行更新，避免黑客对网站进行攻击。

二、网站的空间/服务器

上面说完网站程序会影响到网站的安全性，其实网站在选择空间时，也需要注意，网上有很多不知名的空间商给出的网站空间价格很低，部分用户觉着便宜使用了，但往往这种便宜的空间，安全性极差。因为空间/服务器需要专门的人员去进行维护的，需要对服务器进行配置，设置服务器文件的权限等等。

三、网站后台路径以及账号密码设置

借助小编的亲身经历，以前帮一个客户维护他的网站，发现他网站后台路径是/admin账号是admin密码是admin，这种网站即使后台程序和空间再好，被入侵也是迟早的事，网站后台的路径不能直接大众式的后台路径，账号和密码也尽量要用字母+数字+符号，所以提醒大家以后要在这方面多加注意。

做这么多网站的安全防护措施都是为了防止黑客借助网站程序漏洞和服务器防御不足，让他获取用户数据泄露用户的登录信息和密码。那如果黑客都得到了用户数据表了，那么是不是也能得到其他信息呢黑客想登陆到你的帐户获取你的数据或者更改数据，那么数据库本身的安全是不是比用户密码存储方式的设计更重要呢。通过以上几点可以看出，做好网站的安全防护并不是做好两三点就足够的，还有很多细节需要更深入地探讨。

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。