12年

专注互联网营销运营

任何一款程序都不可能将代码优化到无懈可击的地步，我们用windows，微软在一直不停更新补丁，我们用杀du软件，厂商一直不停更新病du库，这些更新不仅仅是功能上的更新，更多的是漏洞的修补。siteserverCMS作为一款建站软件，也并不是完美无瑕的，和所有开源以及半开源软件一样，也都或多或少的存在一些安全方面的小问题，一旦某个漏洞被利用，所有使用这套系统的站点都有可能遭受攻击，有的网页挂马，有的数据库被拿走，有的用户信息外泄，有的整个服务器权限都没了……安全攻防是永远都会存在的一个东西。

　　下面简单介绍几个安全预防措施。

1.系统隐藏

　　软件都有出厂默认设置，siteserver也如此，例如生成目录channels和contents，例如动态内用要调用sitefiles/untils/page.aspx（好像是这个吧，记不清楚了，我一直都用静态生成），那么这个路径就是通用路径，一看就知道是siteserver程序建站，最重要的是你只要用动态，我就能判定siteserver程序就在这台服务器上运行，那么问题来了，加入有一个siteserver通用漏洞，恭喜你的站安全系数就大大降低了。这里我要说的是尽量使用静态，不要使用动态，可在对应站点下找到设置管理——站点设置——高级设置中修改，详见下图

　　修改栏目页和内容也发布路径可在相应栏目或者内容处修改，见下图：

　　也可在设置管理中修改，见下图

　　修改后台登陆地址可将系统根目录下的siteserver文件夹修改成你想用的名字（英文数字随便填），这里我简单操作演示修改为1，见下图

　　然后修改下图所示目录处的config.config文件

　　将adminDirectory="siteserver"中的siteserver修改成你刚才重新命名的文件夹名称1见下图

　　此时你的后台登陆访问地址就由原来的siteserver变成1了，见下图

　　这样的话Hacker们就不好找到你的后台地址了。

2.服务器选用

　　最好不要选择虚拟主机运行建站后台软件，这个是通用的，不仅限于siteserver软件。虚拟主机是一台服务器虚拟出N多网页空间供用户使用。有很多朋友的网站安全做得很到位了，但还是被人拿了数据或者挂了马，实在排查不出自身问题，就该考虑下是不是你的邻居出了问题。

　　例如我有个站放在一个虚拟主机上，我通过查询我自己的网站ip，可获得同IP下的所有网站域名如下图

　　那么问题来了，谁能保证这些邻居都是安全的呢？假如他们中某一个站有问题，那么恭喜你也要遭殃了。

　　同一服务器下有可能我拿到一个站的权限 ，我就有了整个服务器里面的内容了，例如

　　上图我们可以清晰的看到wwwroot目录下有9个站，我拿到其中一个的管理权限，其他的站点文件我都能拿到……这里不多说，我要说的是最好是独立服务器，别被邻居给害了。

3.数据库安全

　　数据仓库很重要，你所有的用户信息，内容信息，站点信息==都保存在这里，所以一旦数据库密码泄露了……（虚拟机另当别论，因为虚拟机的数据库很可能都是IDC服务商做好了分配给你固定的），在服务器配置（VPS和云机）教程中我提过避免使用sa用户，这个我觉得一定有必要这么做，别嫌麻烦，因为sa用户的权限太高了。下图就是我拿到一个sa账户的密码得到的东西，不多说自己 看

　　图中我划掉的部分就是该sa下的所有数据库，看见下面的图我和我的小伙伴都惊呆了……

　　这里特别是那些单位学校做站群的筒子们，一定要注意，别那么懒……

本文链接：http://www./zixun/33/89.html