当前位置：首页 > 范文大全 > 实用文>Joomla网站防黑9条戒律WEB安全

Joomla网站防黑9条戒律WEB安全

2023-09-20 09:27:03 收藏本文下载本文

“鱼鱼鱼鱼鱼呀”通过精心收集，向本站投稿了9篇Joomla网站防黑9条戒律WEB安全，下面是小编为大家整理后的Joomla网站防黑9条戒律WEB安全，供大家参考借鉴，希望可以帮助您。

Joomla网站防黑9条戒律WEB安全

篇1：Joomla网站防黑9条戒律WEB安全

你的 Joomla!网站安全吗？你是否知道已经有很多 Joomla 网站被攻击了？就连国内某著名 Joomla 知识网站前不久也惨遭黑手，首页被替换成的标语，

虽然说没有绝对的安全，但是如果采取一定的措施，总是能最大限度地降低风险，避免网站被攻击的危险性。想提高你网站的安全性吗？那么请认真阅读 —— Joomla网站防黑9条戒律：

Secure your Joomla! 1.5 website

1、备份！还是备份！

我想“备份”对于数据安全的重要性无需再强调了吧？而且，这个操作是每个网站都能做到的，也并不复杂。为什么有些站长就是做不到呢？

备份，不仅包括对数据库的备份，也包括对文件系统的备份。鉴于各个网站的数据更新频度不同，有些可能一个月备份一次就够了，有些可能需要每天备份一次。请站长根据网站的内容更新情况来决定。

备份工作也可以借助工具变得更简单一些。强烈建议所有 Joomla 1.5 网站安装 JBackup 自动备份数据库插件，或者 LazyBackup2 数据库自动备份插件。后者还能将备份结果加密后发送到信箱。

对于需要经常备份文件系统的网站，建议安装 JoomlaPack 备份组件，此组件还有配套的桌面版远程备份工具，可以帮助管理员更方便地备份网站。

2、对照“Joomla 管理员安全问题列表”补漏

Joomla 管理员安全问题列表是由 Joomla 官方团队专门提出的，请不要忽视它的权威性和重要性。建议所有 Joomla 站长对照该列表查看自己还有哪些安全工作不到位，还有哪些措施是可以做而没做的。相信该列表可以将你的 Joomla 网站变得更安全。

3、用 jSecure 插件把后门关紧

很多 web 程序都有“自定义后台管理目录名称”的功能，例如 WordPress，你可以将 /admin 目录改名为 /ia-7a_88 这样很难猜测的名称，就很难找到管理后台的入口。但是 Joomla 没有这个功能，地球人都知道 Joomla 1.5 的后台入口是域名/administrator 。

幸好 Synergy 开发了 jSecure Authentication 后台登录验证插件，该插件的功能是：你可以设置一个密码，当访问后台入口网址时，需要再提供一个密码才能看到登录界面。这就相当于给后门加了一把锁。强烈建议所有 Joomla 网站都安装 jSecure 插件。

4、不要使用默认的 jos_ 数据表前缀

安装 Joomla 1.5 时，默认的数据表前缀是 jos_ ，很少有人去修改这个前缀，这就导致攻击 jos_ 前缀的数据表时大多数情况下能成功。

因此，建议你在安装 Joomla 时选择一个自定义的数据表前缀，这样就能避免很多针对 jos_ 数据表的自动化攻击。

5、更改超级管理员用户

Joomla! 1.5 安装结束后创建的第一个用户就是超级管理员，其用户名是固定的 admin，其 userID 是固定的 62，这一点你知，我知，也知，

单纯修改超级管理员的用户名没有多大意义，因为很多攻击都是针对 user ID 而不是针对 username。因此，我们必须将超级管理员换掉。具体做法：

用默认的 admin 帐号登录网站后台；

创建一个新的超级管理员用户，使用比较难猜测的用户名和复杂的密码；

退出 Joomla 后台，换用新的超级管理员用户帐号再次登录；

将原来的 admin 用户级别修改为最低级别的后台帐号，例如 editor，然后再将它封禁（注：有人建议删除 admin 帐号，但是 Joomla之门认为删除后可能有人在前台恶意注册这个用户名，所以只需禁用就行了）；

6、使用复杂的管理员密码

很多人仍然习惯于使用生日、电话号码、邮政编码、爱人姓名、英文单词等强度极差的字串作为管理员密码。更有甚者，很多人为了方便记忆，竟然将网上银行密码、信箱密码、网站管理密码、淘宝网店密码等统统设置为同一个字串！这些密码全都不堪一击。

怎样才算好的密码？比较强的密码必须同时包含字母（A-Z）、数字（0-9）及特殊字符（#_!@等），并且混合大小写，另外，必须有足够的长度，例如 16 个字符长度的密码肯定比6位的密码更安全。

如果你自己无法编造出一个复杂的密码，可以借助网上的一些在线密码生成器，迅速产生一个强度极佳的密码串。

另外，Windows XP 操作系统也自带了一个生成随机密码的功能。进入 DOS 模式，输入下面的命令并回车，系统就能自动为你输出一个复杂的密码：

警告：在 Windows平台使用此命令后会同时将你的PC管理员密码修改为所生成的随机密码！请别忘记重新改回你原来的管理员密码！

net user administrator /random

这个 DOS 命令生成的密码长度是8位，如果你觉得短，可以重复几次这个命令，然后将两个8位的密码合并成一个16位的密码。

如果怕自己记不住，就写在密码本上，锁在家里抽屉里。万一你忘记了，也能通过 phpMyAdmin 从数据库中找回 Joomla 管理员密码。

7、经常更换密码

你可能已经拥有了一个比较强大的密码，但是仍然建议你经常更换。一般来说，每3个月换一次密码比较合理。

8、不要使用 MySQL 的 root 用户作为数据库的用户

如果你的网站空间是购买的 shared hosting，一般不存在这个问题。如果你比较幸运，有自己的服务器，或者购买了 VPS，那么你就有 MySQL 的 root 管理员权限。当你为安装 Joomla 而创建新数据库时，建议为该数据库重新创建一个管理员用户，指派给够用的权限就行。这个新用户只能访问和管理该站点所对应的数据库，而不是整个 MySQL 根权限。

9、及时更新 Joomla 核心到最新版本

每次 Joomla 官方发布新版本核心，就等于是对旧版本的否定。因此，你必须紧跟这个变化，及时将你的 Joomla! 1.5.x 核心升级到最新版本。

注意：这里所说的“最新版本”当然是指最新的稳定版，不是测试版，更不是 SVN 版本。目前的最新稳定版是 Joomla! 1.5.12，你升级了吗？

篇2：WordPress 初级防黑WEB安全

/wp-login.php是登陆页面，为了避免后台直接暴露在别人眼前，我们可以利用php的$_GET参数给wp-login.php做一个访问限制，

修改步骤

1.打开主题的function.php文件

2.添加如下代码：

add_action('login_enqueue_scripts','crack_protection');

function crack_protection{

if($_GET{'word'} != 'press')header('Location: www.baidu.com/');

}

说明：登陆界面地址为yoursite/wp-login.php?word=press

这样登陆界面就隐藏起来了，如果后面不加word=press，会自动跳到百度首页，

这几个参数可以改成自己需要的。

这下麻麻再也不用担心我被黑啦~ 其实这样做只是简单的防护，避免有大规模密码穷举攻击的时候自己躺枪中招。。

篇3：个人网站防黑安全技巧

个人站长最怕但也是最常遇到的，可能就是网站被入侵了。由于大多数个人网站使用的程序都是公开的程序，所以往往更容易遭受攻击。不过，如果做到了以下几点，网站安全性就会增强很多。

简化功能删除多余程序

一些网站喜欢使用程序外置的各种插件，有的还是测试程序。这些插件存在不少问题，这样一来，黑客就可以很容易地对网站进行旁注等入侵，导致网站安全存在极大的隐患。因此建议网站在进行一些插件测试之后，将不用的程序文件全部删除，以免对网站的正常运行造成危害。

使用网上发布的建站程序，有一大好处就是会不断地进行升级，建站程序的官方网站常常会有各种升级包发布，或者专门针对某些程序漏洞发布补丁程序。所以，经常在官方网站上下载补丁也是保障安全的一个方法。

小提示：在下载建站程序的时候一定要去大型网站，并且要自行进行查毒后再上传到服务器上使用。

密码防护设置复杂的口令

设置复杂的账号密码是老生常谈的话题，网站程序也是一样，如果设置了足够复杂的管理密码，即使黑客通过下载数据库得到了密码的MD5数据，也很难对它进行转换解除。特别需要注意的是一般程序都有默认的原始密码，往往很多站长会忽略。

设置了复杂的密码，还需要注意保护个人的信息，通常站长喜欢在网站上放上自己的邮件地址，方便广告商联系投放广告，但是目前支付宝甚至网银的交易等信息都会在邮箱中保存，很有可能会造成黑客使用社会工程学的方式套取信息，从而解除密码。

查补漏洞让网站坚不可摧

其他方法还包括经常在程序官方网站下载补丁等，如果是使用服务器的网站，则需要提高服务器安全性，服务器的权限分配一定要仔细设置，这往往是很多站长容易忽略的问题，而且要注意安装所有的Windows更新补丁。

需要提醒大家的是，如果网站仅使用了单一的程序语言，如使用PHP+MySQL架构的建站程序，就可以在IIS应用程序配置里只留下对应的权限 (如图)。另外，由于很多网页木马都是使用asa后缀作为文件名称隐藏，所以如果我们不使用ASP程序，就一定要去掉asa选项。对于使用虚拟主机系统的用户，建议最好不要使用ASP、PHP语言都支持的全功能网站空间，而是选用单一脚本空间。

经过以上设置后，黑客就算解除了程序的管理账号密码进入网站后台，也不能进行其他诸如提升权限、种植木马的恶意操作，也就不能进行更严重的破坏了

篇4：经验：浅谈WINDOWS 防黑的一些技巧WEB安全

本文通过七步设置介绍了针对Windows 和Windows XP操作系统如何防范非法用户入侵的“七招”，

第一招：屏幕保护

在Windows中启用了屏幕保护之后，只要我们离开计算机(或者不操作计算机)的时间达到预设的时间，系统就会自动启动屏幕保护程序，而当用户移动鼠标或敲击键盘想返回正常工作状态时，系统就会打开一个密码确认框，只有输入正确的密码之后才能返回系统，不知道密码的用户将无法进入工作状态，从而保护了数据的安全。

提示：部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键，因此需要设置完成之后测试一下程序是否存在这个重大Bug。

不过，屏幕保护最快只能在用户离开1分钟之后自动启动，难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开 Windows安装目录里面的system子目录，然后找到相应的屏幕保护程序(扩展名是SCR)，按住鼠标右键将它们拖曳到桌面上，选择弹出菜单中的 “在当前位置创建快捷方式”命令，在桌面上为这些屏幕保护程序建立一个快捷方式。

此后，我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。

第二招：巧妙隐藏硬盘

在“按Web页”查看方式下，进入Windows目录时都会弹出一句警告信息，告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，这时单击“显示文件”就可以进入该目录了。

原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件，之前必须在文件夹选项中单击“查看”标签，选择“显示所有文件”，这样就可以看见这两个文件了)。再按“F5”键刷新一下，看看发生了什么，是不是和进入Windows目录时一样。

接下来我们用“记事本”打开folder.htt，这是用HTML语言编写的一个文件，发挥你的想像力尽情地修改吧。

如果你不懂HTML语言也没关系，先找到“显示文件”将其删除，找到“修改该文件夹的内可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，将其改为自己喜欢的文字，例如“安全重地，闲杂人等请速离开”。将“要查看该文件夹的内容，请单击”改为“否则，后果自负!”，接着向下拖动滑块到倒数第9行，找到“(file：//%TEMPLATEDIR%\ wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径，将其改为自己图片的路径，例如用“d：\tupian\tupian1.jpg” 替换“//”后面的内容，记住这里必须将图片的后缀名打出，否则将显示不出图片。

当然，你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果，然后只要将原文件拷贝到下面这段文字的后面，覆盖掉原文件中“～”之间的内容就可以了。

*This file was automatically generated by Microsoft Internet EXPlorer 5.0

*using the file %THISDIRPATH%\folder.htt.

保存并退出，按“F5”键刷新一下，是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来，不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的，就是干脆将folder.htt原文件中“～”之间的内容全部删除，这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象，使其中的文件更安全。

第三招：禁用“开始”菜单命令

在Windows 2000/XP中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令，在“运行” 对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按钮即可启动Windows XP组策略编辑器。

在“本地计算机策略”中，逐级展开“用户配置→管理模板→任务栏和开始菜单”分支，在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。

在禁用“开始”菜单命令的时候，在右侧窗口中，提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可，比如以删除“我的文档”图标为例，具体操作步骤为：

1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项，

2)在弹出窗口的“设置”标签中，选择“已启用”单选按钮，然后单击“确定”即可。

第四招：桌面相关选项的禁用

Windows XP的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工作将变得易如反掌，只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支，即可在右侧窗口中显示相应的策略选项。1)隐藏桌面的系统图标

倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。

若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标，只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可。

当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

2)禁止对桌面的某些更改

如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

第五招：禁止访问“控制面板”

如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支，然后将右侧窗口的“禁止访问控制面板”策略启用即可。

此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删除控制面板文件夹。

提示：如果你想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个操作。

第六招：设置用户权限

当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行：

1)运行组策略编辑器程序。

2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。

3)双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。

第七招：文件夹设置审核

Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下：

1)在组策略窗口中，逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支，然后在该分支下选择“审核策略”选项。

2)在右侧窗口中用鼠标双击“审核对象访问”选项。

3)用鼠标右键单击想要审核的文件或文件夹，选择弹出菜单的“属性”命令，接着在弹出的窗口中选择“安全”标签。

4)单击“高级”按钮，然后选择“审核”标签。

5)根据具体情况选择你的操作：

倘若对一个新组或用户设置审核，可以单击“添加”按钮，并且在“名称”框中键入新用户名，然后单击“确定”按钮打开“审核项目”对话框。

要查看或更改原有的组或用户审核，可以选择用户名，然后单击“查看/编辑”按钮。

要删除原有的组或用户审核，可以选择用户名，然后单击“删除”按钮即可。

6)如有必要的话，在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。

7)如果想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。

注意：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，你必须启用组策略中“审核策略”的“审核对象访问”。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核。

篇5：个人网站防黑经验总结

个人网站防黑经验总结 -个人工作总结

个人网站防黑经验总结-05-17 09：07一.程序问题！而程序分为先天和后天的！先天的就是程序本身就有的漏洞！不要说自己下的是什么最新版本啊！官方没有漏洞啊，所以很安全！其实什么程序都存在漏洞，不是没有而是现在没有被发现罢了！特别是一些自己写的程序可以说是漏洞百出！程序本身的漏洞一般有注入漏洞，上传漏洞，暴库等等！还有一些别的插件漏洞和小程序漏洞！如ewebeditor编辑器漏洞啊，相册啊，留言板啊等等，这些程序一般都存在很大的风险，很容易被所利用！防护办法：就是官方下载最新版本的系统或CMS！简化一些不必要的程序！对一些不必要的功能，如上传等等做严格的限制！用工具检查自己网站方面是否存在注入，暴库漏洞等！程序的后天的有模板方面或是源码被有心人插入了恶意代码或是后门，到头来你努力做的网站其实一直都在为别人做嫁衣罢了！防护办法：需要源码就去比较有名的下载站或是论坛下载源码，下载回来后有能力的自己检查一下是否带有后门！感觉安全了才进行上传！二。本身配置问题！配置方面要注意以下几点！1默认的数据库路径！现在很多很喜欢做的一件事情就是从默认的数据库地址下数据库来得到网站管理员的帐号密码！尤其是针对论坛！知道了帐号密码就等于拿到了整个论坛的管理权限！其实现在很多站长都有一个误解，以为把数据库后缀改成ASP就行了但是知道了路径的情况下用下载软件把保存文件后缀改成MDB也是可以下载的！防护方法：修改默认的路径，越复杂越好！对数据库进行防下载设置！2，默认后台！现在很多access数据库注入漏洞都是能暴出你的后台帐号和密码的！用拿到的帐号密码输入默认后台地址就很容易就拿到你的网站权限了！从入侵到拿到权限不要3分钟！防护办法：修改默认后台！就算现在人家利用最新的漏洞暴出了你的帐号密码但是没有后台，他拿了也只能干瞪眼！3，弱口令！弱口令是指你的帐号密码重复或是有很明显的规律，！如QQ号码，生日，电话号码，默认的的系统自带的原始密码等等！现在我们做网站一般都会在站上留一个联系方式如电话或QQ等！方便广告主联系以及别人对你网站提意见！但是这些都会被所利用到！会跟你搭话然后从你们的谈话种获取有用的资料！我有一个朋友曾经利用社工把人家的身份证号码，支付宝密码，银行密码，邮箱密码，QQ密码等等全都弄到了手！还有设置的后台管理密码一定要复杂，现在的密码很多都是用MD5或是别的加密的，如果别人在用别的方法得到了你的数据库，但是你的密码复杂的话人家也没办法解密的！我以前就用社会工程学拿下过某网站他使用的是默认的后台地址，默认的密码，这几是典型的弱口令！当然现在我告诉了站长他已经修改了！防护办法：设置一些自己能记住但是没什么很多规律的密码！对重要密码要特别设置！不要图方便所有的网上上的帐号密码都一样，这样一个密码的泄露就有可能导致整个网上信息的.泄露！设置复杂的密码，最好是在9位数字以上，英文字母和数字搭配使用！三：IDC问题！现在个人站长的安全意识越来越高但是自己的网站安全防护措施做的很到位为什么还是会被黑呢?这里就涉及到了IDC管理员的问题！很多站长朋友贪图小便宜认为小的空间商空间速度不错，价格便宜所以都选择了小空间商！但是你要知道也许正是你贪图小便宜的心理会让你的网站和心血全是都付之东流！现在很多对定点入侵网站都选择了旁注的方法，也就是说比如他想入侵你的网站，但是你的网站配置相当安全的情况下，那就会转移目标去入侵和你同一服务器的网站！然后通过别的网站拿下的后门进行目录的跳转或是提升权限来达到控制整个服务器的的目的！那时候你的安全想对服务器权限来说没什么可言了！服务器管理员的问题还有服务器的软件配置问题，安装了第三方软件，如：Serv-U，FTPflash，VPN，pcanywhere等等，安装了这些软件的服务器很容易被提升权限，从而达到得到服务器的权限的目的！还有就是没安装防ARP软件！因为机房的一台服务器的沦陷导致整个机房的沦陷！被别人ARP挂马或是ARP宿探等等！这样我们的网站就会入恶意代码，FTP密码就会被所截取！服务器的硬件配置问题！当你的网站在网上取得了一定的成绩的时候，别人可能就会跟你竞争或眼红！于是为了跟你争排名，人家最常做的就是对你的网站进行DDOS，也就是拒绝服务攻击！如果你的网站配置不高的，没有硬件防火墙的话那别人用几只或是几十只肉鸡就可以轻易的把你的网站D死，让你的网站长时间的无法访问，从而导致搜索引擎对你进行降权或是K站！很多大型的网站曾经都遭到过大型的拒绝服务攻击！防护办法：找一个好的IDC商，问清楚他们的服务器配置！不要贪图小便宜！要知道一分钱一分货！四：个人电脑安全问题！如果个人电脑的安全没做好！种了远程控制木马的话那说什么都没用了！人家可以很清楚的记录你的所有帐号密码！对他而言你在网上没有任何密码！防护方法：及时给电脑打补丁，杀毒肯定也要装。

篇6：浅谈网站黑链检测和清除的方法WEB安全

有时候绝的做SEO是一件很难得事情，因为现在网站到处充斥着黑链，SEO小沫这几天也为网站挂黑苦恼了很久，我们确实知道现在黑链这个行业越来越发达了，卖黑链的朋友到处都是不说，连几个几个站长工具网站里都有他们大摇大摆的广告，至于他们的黑链是怎么得来的呢？有的是正规途径获取，有的则是以非法的手段挂上别人网站的链接，然后进行出售，要是被挂上百度拔毛的网站链接呢？很明显，那将会连累到自己的站点被降权，甚至被K，今天我要谈的是如何有效的防止自己的网站被挂黑链

我们该如何检查并清除我们网站上的黑链相信很多人都想知道，今天广州SEO为大家分享一下检查和清除黑链的一些常用方法，希望大家能够受用，

检测网站是否挂黑的方法：

第一、经常查看网站的源代码

一般情况下，黑链被挂在首页的最多，或许某些出售黑链的朋友也会有喜欢挂在网站内页的喜好，这样可以稍微加深一点难度吧，站长需要经常查看网站的源代码，点击网站文字位置，右键，有一个“查看源文件”的选项，点开即可查看。如果你自己的网站设置了禁止右键，可以通过下载一些比较好用的浏览器，来查看网站源代码。

第二、巧用站长工具里的“网站死链检测”功能

可以使用站长工具里的“网站死链检测”功能，查看到网站页面的所有链接，这个工具即可以查看你网站里面的链接可否访问，也可以显示出网站页面里所有的链接，当你发现有未知名的链接时，马上采取相关措施，删除此链接，有可能是黑链。

第三、使用FTP工具查看网站文件的修改时间

每个网站文件都有自己的修改时间，要是没修改时间，系统会按照文件的创建时间来显示，假如说我现在这个网站的上传时间是4月1日，通过FTP工具查看了一下，大部分文件都是4月1日的，突然看到某个文件的修改时间变成了与现在相近的时间，那么你的这个文件就有可能已经被人家动了手脚，被修改了文件源代码，挂了黑链，现在你最好是把这个文件下载到本地，详细查看一下文件源代码里有没有挂黑链的痕迹，

当然，检查的时候，如果你是asp+access站点，看到你的数据库文件的修改时间也与现在相近，你对它基本可以忽略不计吧，譬如说你的网站文章里有统计文章点击次数的，访客浏览一次网站文章，即会写入数据库，自然也就会修改了数据库修改时间了。

第四、经常修改网站ftp的用户名和密码

有的挂黑链的朋友，会通过非法的手段获取到你的网站FTP密码，假如你的FTP密码设置的很简单，譬如“123456”等危险密码，自己都没有一点点安全意识，这种情况下，他们就更好对你的网站“下手”了，我们需要设置的复杂一点的密码，可以设置为大写、小写、标点符号相结合的密码，修改下至少可以安全一些，不要等到被挂黑链了才想起来需要修改密码，那就来不及了。

第五、巧用站长工具里的“同IP站点查询”功能

通过这个工具，你可以查询到跟你网站在同一服务器的部分网站，如果你自己的网站被挂黑链了，那么你在查一下同一服务器的其它网站，当你查到其他的某个网站也有被挂黑链的时候，这时候我们就可以怀疑到服务器安全的问题了，而不是自己网站程序的漏洞问题，现在要做的事，就是马上联系服务商，让他详细做一下服务器安全策略。

知道了黑链的所在，也知道问题的原因就好办了，我们只要将网页中的这些黑链清除掉就可以了，不过有些黑链是调用的，这时候你要找到这个调用的文件，让后将其删除，这样才能将黑链彻底删除。

篇7：网站安全检查列表WEB安全

不管是做什么网站，安全是首先要考虑的，而且应该是非常重视网站的安全，以前我自己鼓捣东西的时候，老是想着能把这个项目做出来就行了。可是现在想想是一个非常大的错误，对于一个非常脆弱的系统，对于一个容不得一点错误的系统，是完全没必要做出来的，做出来能有什么用。一个网站首先应该宽容用户无意间产生的失误（或者说是错误），再有就是能够防止用户的恶意攻击，还有就是做好系统地错误处理，防止暴漏不必要的信息，再就是对于错误的URL地址的处理（本不存在的URL地址，URL中传递的参数不正确，访问权限不足）。下面就简要的列举一下网站会受到什么样的威胁，然后应该怎么去防范。

1. 跨站脚本（XSS）：向浏览器发送未经检查的用户提供的数据的结构。用户提供的数据的问题是它完全超出了你的控制，而且它非常容易伪造HTTP referrer的值和隐藏表单字段中的值。

所以，在处理表单时，仔细验证数据并使用“拒绝所有，允许少量”策略，也就是所谓的“黑名单”、“白名单”问题。黑名单就是把一些认为是危险的字符禁止，然后允许剩下的所有字符；白名单就是只接受我承认的字符，其他的一概拒绝。相对来说，白名单比黑明白更好，因为我们在考虑黑名单时，总会或多或少的漏掉一些东西，而且我们并不能够会想象出恶意用户会采用什么样的方法来攻击系统；而对于白名单而言，比如注册用户名，我只允许用户名为英文字符和数字，其他的一概拒绝，这样就能防止一些恶意的用户名了。还有就是发表博客，或者论坛的帖子时，如果允许HTML标签，可能就会破坏整个页面的布局。

2. 注入攻击：SQL注入可能是我们谈论的最多的网站攻击了。防御的方法很简单，就是将从用户处接收到的数据全部转义。

3. 恶意文件执行：允许执行没有驻留在服务器删的任何脚本将使攻击者执行服务器上的任意代码成为可能。这一攻击的后果包括未被察觉的从应用程序中的数据提取或者服务器的全部泄密。恶意文件执行攻击适用于带有文件名（全部或者部分）或者带有来自于用户的文件的任何系统。

4. 不安全的直接对象引用：一种形式就是修改URL地址中参数的值，想要获取其他本不属于自己的或本不存在的信息；还有就是利用在脚本内引用文件的形式来实现。第二种情况是什么意思呢，就是说我们通过传过来的URL参数来包含相应的文件，可是如果传递的参数是恶意的，就会包含意外的文件而受到攻击。

因此，我们在使用URL地址传递过来的参数时，也应当进行相应的检查。

记住——用户提交的信息并不仅限于URL和表单参数！应当检查以确保未经检查的cookie值、HTTP请求头和HTTP内容值也没有用在脚本中。

5. 跨站请求伪造（CSRF）：此种类型的攻击未经许可强迫受害者在另一个站点执行一些行为。为了保护表单的自动提交，可创建一个在每次浏览表单时都重新生成的随机令牌，它被放置于会话变量中并位于表单中的一个隐藏字段中。提交表单时，脚本检查令牌和会话变量中的值的匹配情况，仅当表单从真实站点载入有效——如果请求来自于其他地方，页面将失效，

6. 信息泄露和错误处理不当：当脚本中有错误发生时，对攻击者游泳的信息可能会在错误信息中泄露。例如：Warning:mysql_connect:Access denied for user 'sitepoint@db.sitepoint.com'(usering password:YES)in var/www/index.php on line 12，此信息给潜在的攻击者提供了数据库服务器的名称、数据库名和用户名；类似的，输出不正确的SQL语句的错误信息给攻击者提供了一个小小的观察你数据库结构的机会。

所以，我们在网站正式上线后，应当禁止错误输出到浏览器而将错误信息记录到日志文件中。

7. 认证和会话挂历不完善：认证和会话管理不完善这个脆弱这处和对账户与会话数据保护的不充分紧密相关。如果在用户登录前劫持了会话，攻击者只需要等待用户登录就可以获取个人账户的全部控制权。

PHP提供了session_regenerate_id函数，它应在有特权级的任何改动之前使用。改动会话ID时，本质上它在维护会话数据。因此在用户登录后，哪个人救火去了一个新的会话ID，被攻击者劫持的前面的任何会话都变得无效。还应坚持PHP自己的会阿虎和cookie管理函数——不要编写自己的脚本或者使用第三方的脚本。还可采取的措施包括确保站点退出登录功能完全销毁了会话数据，并在用户不活动一段时间后自动将用户退出登录。还建议不要以明文方式在email中发送口令，或者在屏幕上显示口令。

8. 不安全的密码存储：首先，就加密技术而言，不要改变自己的代码；第二。记住吐过正在使用一种打算要译码的算法加密数据，那么其他人也能够对其进行解密。

严格来说，MD5和SHA并不是加密算法（也就是说，不能解密一个MD5字符串来获取它的原始数据）；它们是信息摘要算法。但是如果不需要界面一个值，使用SHA-256，它在PHP5.1.2中的hash函数中可用。如果此项不可选，可以选择稍低安全级别的MD5，可通过md5函数使用它。

9. 不安全的通信：使用明文发送敏感信息类型的数据部仅仅是坏习惯，它还是不可原谅的。例如，如果正在询问用户登录或者提供信用卡详细信息，或者应用程序导致您的服务器要和其他服务器会话，就应该使用SSL来确保通信的安全。

10. 限制URL访问失败：大多数应用程序会基于用户的特权级别来限制他们可用的链接。然而，很多应用程序的用户授权系统在那一点停止工作了，访问权限就会混乱。

要确保你的用户仅能看到他们能够使用的链接，但是也要确保在允许用户继续使用之前每个页面都要检查用户的特权级别。

其实，网站受到的攻击类型还有很多，上面仅仅是总结了常见的几种类型。

篇8：防黑之阻断基于PcAnyWhere的攻击方法WEB安全

PcAnyWhere是一款非常著名的远程控制工具，使用它可以轻松实现在本地计算机上控制远程计算机，也可使两地的计算机协同工作，网管可以在主控端与被控端之间互传文件，也可以使用其闸道功能让多台电脑共享一台MODEM或是向网路使用者提供打进或打出的功能，由于PcAnyWhere的这些体贴的功能，所以它成为许多网络管理员的首选，但是PcAnyWhere也有不足之处，它的密码文件是可逆的，万一入侵者得到WebShell，而且管理员配置不当，入侵者就能得到连接密码，后果可想而知了……

读者朋友们可能要说了：“我可以限制只允许某个特定的IP地址进行远程管理啊？”不错，这是一种办法，但是并不完美，因为有时服务器出紧急状况，但是管理员并不在公司，或者管理员需要在家中进行远程管理，而ADSL的IP地址是不固定的，而且段也是不固定的。比如我的IP一直是61.52.80.*，可是最近却变成了221.15.145.*。这样的情况下，限制只有固定的某个IP可以进行管理就有非常大的局限性。

从PcAnyWhere的11.0版开始，它就支持SecurID双重认证了。使用SecurID双重认证可以完全不用限制IP，对方即使知道PcAnyWhere的用户名和密码也无法进行连接。

小提示：本文讲述的是PcAnyWhere的SecurID 双重认证机制，如果你对PcAnyWhere不熟悉，可以去参考联机帮助或者其它基础教程。

首先，说明一下需要的软件，即Symantec PcAnyWhere和Symantec Packager。当然，两者都需要安装好，这样，我们的平台就搭建好了。此处需要注意一点，即需要先安装PcAnyWhere，其次再安装Symantec Packager，以避免不必要的麻烦。

启动PcAnyWhere的管理界面，来到左边的PcAnyWhere manager，最下面的图标，即Serial ID Sets就是我们今天的主角之一了，选择它，在右边的区域点右键，选择“new->item……”，则弹出Serial ID Set Properties窗口，可以在这里输入你想要设置的Serial ID，必须是数字，而且大于0，小于4294967296，否则将弹出如下窗口没有测试过这里一共可以加入多少个Serial ID，我最多加入过20个Serial ID。有一个要求是加入的Serial ID可以是介于0和4294967296之间的任意数字，但是不能相同。否则将产生错误最后点OK，我们的Serial ID文件就准备好了。在窗口的最上方能看到此Serial ID文件所在的目录，如果是默认安装，则此文件的路径是“C:\Documents and Settings\All Users\Application Data\Symantec\PcAnyWhere\Serial ID Sets”，也可以把它复制出来到一个容易找到的地方做备份，

然后我们请出今天的另外一名主角：Symantec Packager。

小知识：Symantec Packager是Symantec出品的一款可以自定义软件安装包的工具。使用 Symantec Packager可以创建、修改和创建自定义安装集（或安装包）并将其分发给你网络中的各用户，让管理员能够仅安装所需的元件，避免其它程序占用使用者的硬盘空间和避免安装一些不必要的功能。使用Symantec Packager可以通过创建只包含用户所需功能和设置的安装包来定制适合企业环境的安装。另外，Symantec Packager只适用于Windows NT/，但是，使用Symantec Packager创建的定制安装文件可以安装到任何Microsoft 32位平台上。

启动Symantec Packager可以看到一共有四个标签，也就是Symantec Packager的全部功能标签。如果按照正常的安装顺序（即先安装PcAnyWhere，再安装Symantec Packager）安装成功，启动后，显示当前系统中安装了Symantec PcAnyWhere。

今天我们只是用到其中的第二个标签，即Configure Profucts。打开第二个标签，可以看到Symantec已经给你准备好了6个内置类型，这里我们拿第一个，也就是PcAnyWhere的默认安装包进行讲解，其余的都大同小异，可以自己进行体会。

打开默认安装包之后，出现如下界面第一个标签Features包含了PcAnyWhere的各个功能选项，在这里可以对PcAnyWhere的各项功能进行取舍，如果你对PcAnyWhere不熟悉，还是不要做改动为好。

打开Configuration Files标签，可以对PcAnyWhere安装程序包中的文件进行逐一设定。也到了我们今天讲解的一个重点，即实现SecurID 双重认证的最关键一环。在窗口中选择“Host Security IDsFile (*.SID)”，使之高亮显示，然后点击“Add…”按钮，浏览你存放的SID文件的位置，点确定，此文件即被加入此安装包中。

此时，单击最下方的“Build”即可以生成具有双重认证功能的安装包。如果还想定制其它的选项，则可以按照自己的意愿选择，如Remote Files (*.CHF)是主控端连接被控端的配置文件，Host Files则是被控端主机的配置文件。如果有多台主机需要配置，而且配置完全相同，在这里完全可以将文件选择好，省去了重复劳动。

最后单击Build按钮，即可生成具有双重认证功能的Symantec PcAnyWhere安装程序包――Symantec PcAnyWhere.msi，最后需要做的就是卸载掉你现在电脑上的Symantec PcAnyWhere，在你的计算机和被控端电脑上都安装上我们定制的安装程序包，一切就OK了。就这样，将你生成好的程序安装在某个机器上，这个机器就可以拥有完整的SecurID认证了，而在网络中其它计算机上，并不具有这样的认证，别人想登陆你的PcAnyWhere也不行了！