温馨提示:这篇文章已超过949天没有更新,请注意相关的内容是否还可用!
该文章包含许多预防性建议,有助于保护您的网站免受感染。
如何阻止攻击者在您的网站上放置恶意代码
- 使用可靠的软件。
- 从受信任的来源下载 Web 应用程序分发和 CMS 扩展/插件。
- 定期更新 CMS 和服务器软件,敬请关注有关 CMS 漏洞的新闻。
- 定期审核您的服务器的安全性。
- 安装 CMS 后,删除安装和调试脚本。
- 对 Web 服务器软件(FTP、SSH、主机控制面板和 CMS)使用强密码。
- 复杂密码至少包含 11 个字符,包括大小写混合的字母、数字和特殊字符。
- 不要使用相同的密码访问不同的服务。
- 即使是最强的密码也建议每三个月更改一次,以防止意外泄漏。
- 不要将重要的密码保存在 Web 浏览器、文件管理器、FTP、SSH 和其他客户端中。
- 确保您的工作计算机安全。
用于与服务器一起工作的所有计算机(网站管理员、管理员、内容管理员、销售经理等的计算机)都必须安装防病毒软件,并支持定期更新。还需要及时更新操作系统和应用程序。
- 控制用户输入的数据。
- 在用户提供的数据中过滤 HTML 标记,这些数据可以嵌入到网站页面的代码中。
- 当从用户接收数据时,在服务器上检查它们的大小是否可以接受,传输的值是否包含在允许的列表和间隔中。
- 切勿将用户生成的数据直接插入到调用eval()、SQL 查询或类型转换中。始终检查并清除接收到的信息中的潜在危险元素。
- 不要留下为调试而引入的参数,在代码的工作版本中试验新的或禁用的功能。
- 使用 WAF(Web 应用程序防火墙)。
- 控制用户访问权限,特别是提供针对跨站点请求伪造 (CSRF) 的保护。
限制对 CMS 和数据库管理面板(例如 phpMyAdmin)的访问,以及:
- 编码备份;
- 到配置文件;
- 到版本控制系统的元数据(例如,到目录.svn或.git)。
- 如果可能,隐藏服务器软件版本(CMS、Web 服务器、脚本解释器、DBMS)。
- 设置防火墙和网络基础设施,只允许工作所需的连接。
- 尽量避免点击劫持。最简单的检查是:
- HTTP 标头输出X-FRAME-OPTIONS SAMEORIGIN或X-FRAME-OPTIONS DENY.
- Javascript 视图结构
if (top.location != window.location) top.location = window.location
或者top.location = 'http://example.com'
- 我们建议主机使用Yandex 安全浏览 API或网站管理员 API 定期检查支持的网站。
如何防止网站用户发布恶意代码
如果您网站的访问者可以将文件或文本上传到您的网站,则下载的内容中可能包含恶意代码(有意或无意)。
- 保护自己免受机器人攻击。
为了防止黑客机器人,您可以使用特殊的 CMS 插件或在黑名单中查找用户 IP 地址。
- 检查用户可以输入的数据。
- 不允许在脚本、标签或链接中插入 JavaScript 代码。
- 不要在iframe、object中直接插入代码,在网站页面中嵌入标签,也不要上传.jar、.swf和.pdf文件(使用它们,网站会自动生成此类标签)。
- 维护允许的 HTML 标签的白名单,以丢弃所有其他标签,无需进一步处理。
- 检查用户插入的链接,例如通过Yandex 安全浏览 API。
如何不意外发布恶意代码
- 检查您正在使用的软件。
- 仅从官方网站或可信来源下载 CMS 发行版、小部件、库。
- 如果您必须从可疑站点下载分发工具包,请务必检查其中是否存在恶意代码。
- 仔细研究要添加到 CMS 的任何其他组件的代码。
- 小心使用广告单元和代码。
- 仅在您的网站页面上嵌入由受信任的广告系统提供的广告单元。
- 在将站点连接到新的合作伙伴系统之前,请查看有关它的评论和分发内容的示例。
- 避免“独特的报价”(柜台和块的可疑高额费用,移动流量的货币化)。
- 如果可能,在您的页面上嵌入静态内容(链接和图片)。避免加载脚本和iframe元素。请仅接受您可以自行检查和编译的源代码形式的 Flash、Java 和 ActiveX 组件。
- 不要使用带有隐藏块的附属程序。
- 小心控制对服务接口的访问。该网站的访问权应该只提供给需要访问权的人,并且只要需要。
- 撤销对执行一次性工作的专家、以前的所有者、不负责网站运营的人员(例如,营销专家或经理)的访问权限。
- 在邀请外部人员在网站上工作时,请尝试获得一些建议。完成工作后,禁用他们的帐户或更改密码。
- 如果您的站点是静态的,则某些合作伙伴系统可能会请求 FTP 访问以自行更改横幅。提供这种访问是危险的:如果合作伙伴系统的数据库被黑客入侵,攻击者将可以直接访问您网站上的文件。
- 寻找可靠和高质量的主机。并非所有托管服务商都能以高质量确保其服务器的安全性,有些托管服务商可能会故意感染客户端站点。
免责声明:本文来自Yandex站长平台,不代表0oD三一o0的观点和立场,如有侵权请联系本平台处理。
还没有评论,来说两句吧...