下面我写一篇文章,结合我过去这些年的实际事情经历给大家演示如何用最大略的办法担保做事器安全。
第一点,让你的网站看起来和别人不一样
我们要熟习云做事器的端口号配置,把默认端口号都改掉,减少被黑客试错的机会
停掉做事器的SSH端口,或者也将这个端口号改做其它的数字。
如果您的网站是基于织梦开拓,可以修正网站根目录下的robots.txt,比如可以改成这种通配符的形式,让通过读取robots.txt嗅探网站漏洞的软件放你一马。
User-agent:
Disallow: /plu
Disallow: /inclu
Disallow: /temp
Disallow: /js
Disallow: /imag/
Disallow: /uplo/
Disallow: /dat/
将网站后台目录,管理员用户和密码改成繁芜一些,基本上要8位以上,但是您千万不要把用户名设置成admin,密码写成123456789,要把稳大小写,分外符号和数字相稠浊,如果是那种目录名不改,管理员用户名密码都不改的,险些不出一个月网站就会被修改,我们称这种网站叫短命网站。
安装宝塔面板,我选择的是5.9版本的,这个版本稳定性比较好,也是出于我的一个个人习气,由于这个版本的Nginx可以利用宝塔面板里的一个免费的waf功能,6.0版本往后就没有这个功能了,只有费钱升级完专业版才能利用waf,而且用度不菲。
在宝塔面板的过滤器里面,能开的规则都给它打开,这样会得到最全面的防护。
宝塔面板利用的888、8888端口号也同样要改掉,不然便是自己给黑客留了一个后门。
做事器端软件我选择的是Nginx openresty,启用Nginx的waf防火墙过滤的所有功能。
按照我说的做法设置好,一个配置最低的云主机都可以轻松安装几十个网站,不会担心被挂木马和黑客入侵的风险。
被过滤掉的网站访问要求
总结一句话:必须要改掉或停掉22端口888端口,8888端口,禁止ping。
禁止ping
第二点,给静态文件目录设置禁止脚本实行的权限
给某些通用的,随意马虎被猜到的,静态目录里添加禁止php脚本实行的代码,这样即可大大降落被人上传木马以及网站被黑被修改网站页面的风险。
禁止指定目录下的PHP脚本实行权限
然后我们试着上传一个php文件到上面添加规则的目录中,之后用浏览器访问访问那个php文件,如果涌现以下信息,表示我们已经成功拦截了造孽要求。
成功拦截
刚才的规则是给指定网站添加的禁止实行php脚本的代码,但是如果做事器上有几十个网站都想做这种设置吗?挨个改下来要摧残浪费蹂躏良久的时候,而且也不好掩护,有没有更好的办法以呢?
答案是肯定的,方法便是找到你网站对应的PHP版本,加在里面的前面。
一劳永逸设置所有网站脚本实行权限
第三点,要有安全备份的习气
不要在网站的根目录,模板目录,和数据库备份目录里有如下名称的备份
a.zip、web.zip、web.rar、1.rar、bbs.rar、www.root.rar、123.rar、data.rar、bak.rar、oa.rar、admin.rar、www.rar、2014.rar、2015.rar、2016.rar、2014.zip、2015.zip、2016.zip、2017.zip、2018.zip、2017.rar、2018.rar、1.zip、1.gz、1.tar.gz、2.zip、2.rar、123.rar、123.zip、a.rar、a.zip、admin.rar、back.rar、backup.rar、bak.rar、bbs.rar、bbs.zip、beifen.rar、beifen.zip、beian.rar、data.rar、data.zip、db.rar、db.zip、flashfxp.rar、flashfxp.zip、fdsa.rar、ftp.rar、gg.rar、hdocs.rar、hdocs.zip、HYTop.mdb、root.rar、Release.rar、Release.zip、sql.rar、test.rar、template.rar、template.zip、upfile.rar、vip.rar、wangzhan.rar、wangzhan.zip、web.rar、web.zip、website.rar、www.rar、www.zip、wwwroot.rar、wwwroot.zip、wz.rar、备份.rar、网站.rar、新建文件夹.rar、新建文件夹.zip、以及和域名干系的.rar和.zip文件等等。
我曾经就职过的单位里,一个同事就曾经把网站备份存到了根目录下,命名为了web.zip。那个网站是卖钢铁和炉料信息的一个网站,相称于把所有收费信息都免费公布了,管理员密码也泄露了,我创造之后就提醒它改掉了这个问题。
公司哀求按时备份的话,建议备份文件名利用一串随即的字符,采取大小写和数字以及分外字符稠浊的办法命名。
如果黑客用软件反复用列举字典的办法嗅探我们的备份文件,也会被我们上面waf里设置的过滤规则过滤掉。
安全狗、悬镜、云锁、360安全卫士等软件只管即便少用,由于他们会占用你的做事器资源,影响做事器网站的性能,还有一点便是bug比较多,乃至会把管理员从网站后台天生文件给拦截掉,怎么添加白名单也不管用。
第四点,制订员工事情标准
员工职员变更后要及时修正网站用户名密码,员工的电脑要由网络管理员定期检讨,安装防病毒软件,首先要制作部门规章制度,上班不许听歌打游戏,更不许可利用游戏外挂,那些基本都带病毒。
曾经呆过的一个单位里,员工上班偷玩游戏,老板走过来的时候,又事情界面盖一下,伪装成彷佛每天自己事情都很忙的样子。大多数医院员工的事情都是这个状态。有的乃至托朋友找关系,找来这么一个”铁饭碗的事情“。
这样事情的结果是若何的呢?这名员工在单位里是美工职位,结果通过他上传到做事器上的每张图片都非常的大,有的乃至有几十兆。后来公司的网管排查时才知道,通过他上传的每张图片都传染了病毒,这名员工末了也离职了事。
第四点,要防止肖像权侵权投诉
1名医院网站掩护职员的每年的支出5万旁边,1个网络部每年职员支出的本钱大约20万旁边,如果碰上一个碰瓷儿来的三线艺人跟您打肖像权官司,可能二十万全要赔偿对方,以是本日我们要说的便是在网站页面设计的时候,只管即便选用本院在职事情职员的照片,在招聘环节,就要招聘颜值高的人加入到团队里,可以培养后安排在前台导诊,办公室行政,文员之类的事情岗位。须要制作宣扬图片的时候,直策应用员工的照片。
虽然这么说,但是大约90%以上的医疗企业里没有这样做,反复吃到肖像权侵权的官司,那些人是怎么找到自己网站上来的呢?当然是通过搜索引擎识图工具找到的。
我们通过将以下代码粘贴复制到网站根目录下的robots.txt文件中,即可屏蔽搜索引擎对图片的抓取,从而降落这些风险。
User-agent:
Disallow: .jpeg$
Disallow: .gif$
Disallow: .png$
Disallow: .bmp$
Disallow: .ico$
Disallow: .CSS$
Disallow: .js$
第五点,在网站代码部分,做上传文件的扩展名过滤,如果判断是可实行的脚本文件扩展名,则过滤掉。
想要理解更详细的操作流程,请关注我吧!
如果您有任何见地或建议,也可以给我留言指出,感谢大家!
