如何做好网站安全工作

不知道你的问题是不是已经得到了解决。我觉得我来回答很有发言权。因为我前段时间也出现了这样的现象。

你看看你的主页的源代码是不是如下这样的，网站标题、关键词、描述都发生了变化，多了如图所示的代码在网站里面。这个就是病毒代码，但是删除之后，过段时间有出现了这样的情况。那是因为删除只是一时的，并没有解决网站漏洞的根本原因。

其实出现这种现象是网站被“跨站脚本攻击（XSS）”了。具体的跨站脚本攻击（XSS）的意思你百度就知道了，有这个漏洞的百科词条。我用的也是dedecms网站，那么具体解决方法就是防范跨站脚本攻击（XSS）漏洞。只有修复了漏洞，才会不再生成这样的病毒sj代码出来。

1、跨站脚本攻击（XSS）的防范方法，X-Frame-Options头设置，具体方法篇幅比较大，参考百度经验《X-Frame-Options头未设置,如何设置？》

2、跨站脚本攻击（XSS）的防范方法，Cookie没有HttpOnly标志，需要设置HttpOnly，参考百度经验《Cookie没有HttpOnly标志咋办？IIS设置HttpOnly》

3、跨站脚本攻击（XSS）的防范方法，dedecms版本升级，dedecms是免费的开源网站，用的用户多，存在的漏洞也多，要不断的打补丁，升级版本。

把以上三点都做好了，你的网站就不会出现跳转到别人网站去的现象了，因为防范了“跨站脚本攻击（XSS）”，别人就不会攻击你的网站，在你网站里面加病毒代码了。我是一个热爱分享的网站站长，可以关注我，跟我一起进步。

之前一直使用dedeCms建站的，时间也算很长了，但是最近我们公司用dede做的网站被频繁被挂马，网上已经找不到解决方法，客户天天投诉，dedecms从原创团队解散后，几年了基本没有什么更新和维护，没有办法只能重新寻找新的cms改版。

由于客户逼得紧、领导要求更换新的cms程序，首先接触帝国cms，接触了帝国也就不到1个月的时间，下面都是我个人的观点，首先帝国的可扩展性性和功能确实比DEDE强，而且很多东西更加人性化，但是后台的操作界面体验很不好，显得非常老旧，后台功能组织也不如dede清晰明细，dede如果想要去使用的话在后台很快就能找到，而帝国可能找了半天才找到，有些东西分类不清楚，只有用的时间长了，才明白在哪里，但是帝国毕竟安全，模板存在数据库不易被偷，从可做网站的架构上讲，dede似乎只能做小网站，而帝国却可以完成中型网站的建设，也陆续用帝国改版了几个客户网站，后面使用慢慢发现一个问题，模板制作太难了，比dede的模板制作效率低太多。

本来想选择phpcms的，但是phpcms已经倒闭关站了，网上也报一堆漏洞没有人修补，所以还是不准备入坑。

不得已情况下，圈子里面的朋友推荐用pageadmin、老实说这个cms是net开发的，个人开始是非常抵触的，因为个人最开始用的dedecms是php开发的，所以对php的情有独钟，不过还是抱着试试的心态去安装了一个。

经过若干个困扰后，终于安装成功、登陆后台，非常漂亮，虽然第一次使用，但是仿佛每个界面我都非常熟悉和亲切，然后我尝试了一下功能，都很不错，这里不得不说pageadmin细节上体验会比其他cms好很多，后面经过差不多一周的时间研究了使用教程和模板制作教程，现在基本上算数熟能生巧了，功能和帝国一样都很灵活，模板制作比dedecms还要方便，支持局部页、公共页等概念，这些其他cms没有的。

总体来说，这几个cms系统各有优势，但是如果从安全上来说，不建议用dedecms和phpcms、尽量选择pageadmin或帝国，除非你有二次开发能力，真的可以修复好那些存在的漏洞，不过个人建议，dedecms和phpcms既然官方都不维护了，大家再入坑就是为以后找麻烦了。

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

删除挂马文件，如果被百度收录可以提交死链接

把后台系统升级成最新的版本程序

建议按时更新文章，提交sitemapxml，让蜘蛛重新抓取