一 程序问题

 

　　而程序分为先天和后天的!

 

　　先天的就是程序本身就有的漏洞!不要说自己下的是什么最新版本啊!官方没有漏洞啊，所以很安全!其实什么程序都存在漏洞，不是没有而是现在没有被发现罢了!特别是一些自己写的程序可以说是漏洞百出!程序本身的漏洞一般有注入漏洞，上传漏洞，暴库等等!还有一些别的插件漏洞和小程序漏洞!如ewebeditor编辑器漏洞啊，相册啊，留言板啊等等，这些程序一般都存在很大的风险，很容易被黑客所利用!

 

　　防护办法：

 

　　就是官方下载最新版本的系统或CMS!简化一些不必要的程序!对一些不必要的功能，如上传等等做严格的限制!用工具检查自己网站方面是否存在注入，暴库漏洞等!

 

　　程序的后天的有模板方面或是源码被有心人插入了恶意代码或是后门，到头来你努力做的网站其实一直都在为别人做嫁衣罢了!

 

　　防护办法：需要源码就去比较有名的下载站或是论坛下载源码，下载回来后有能力的自己检查一下是否带有后门!感觉安全了才进行上传!

 

　　二 本身配置问题

 

　　配置方面要注意以下几点!

 

　　1 默认的数据库路径!现在很多黑客很喜欢做的一件事情就是从默认的数据库地址下数据库来得到网站管理员的帐号密码!尤其是针对论坛!知道了帐号密码就等于拿到了整个论坛的管理权限!其实现在很多站长都有一个误解，以为把数据库后缀改成ASP就行了但是知道了路径的情况下用下载软件把保存文件后缀改成MDB也是可以下载的!

 

　　防护方法：

 

　　修改默认的路径，越复杂越好!对数据库进行防下载设置!

 

　　2 默认后台!

 

　　现在很多access数据库注入漏洞都是能暴出你的后台帐号和密码的!黑客用拿到的帐号密码输入默认后台地址就很容易就拿到你的网站权限了!从入侵到拿到权限不要3分钟!

 

　　防护办法：修改默认后台!就算现在人家利用最新的漏洞暴出了你的帐号密码但是没有后台，他拿了也只能干瞪眼!