网站被黑是很多站长非常头疼的事情,其实这个和程序本身的安全性、服务器的漏洞及某些设置不当等综合因素有关。目前可以有效提高网站web服务器的安全性是使用nginx,使用Linux系统。
但是有时候即使使用Linux+nginx照样还是被黑,所以网站的安全性只是一个相对的说法,没有绝对的安全。
有非常多的站长喜欢使用win系统,但是由于win系统的确纯在一些相对容易被攻破的漏洞,加上上默认的iis非常容易劫持修改,这使得那些不论安全性有多好的程序网站都被挂马,比如WordPress、discuz、dedecms等,网站程序本身的一些漏洞其实是可以禁止的,主要是一些设置和合理即可解决。
前几天在一个群里面,有个小伙伴问怎么解决网站被黑的问题,她说系统是winserverr2,iisWeb服务器,把系统重装了,安装了安全狗等,杀毒也弄了,服务器密码也改了,没过一天网站首页还是被修改了,网站就像是hiker他家的一样,想来就来,苦不堪言。
而且网站iis的默认文档总是被修改,还被解析到其他网站,就像是服务器管理员一样,想干啥就干啥,各种程序bug修复和排查也都做了,仍然无济于事。
其实在Linux系统上使用Apache也出现过类似的情况,并不是说使用Linux就不会被黑了。那么该如何解决这样的问题,建议更换web服务器以提高安全系数。
不论使用win还是Linux系统,要把系统升级到最新的版本,比如win最低也升级到windowsserver或版本,有些空间商仍然在使用win等这样的系统,安全性本身就很低,iis6/7要升级到8以上。
如果你习惯使用win系统,也没有必要非得换Linux,只要升级到最新版本的win即可,原来使用的Apache或iis建议直接将其卸载,从系统中彻底删除,安装nginx来作为web服务器,nginx在win和Linux上都是可以完美运行的,只不过在win系统上比Linux上稍微差一些,但这并不影响使用。
如果不会搭建nginx环境,现在有很多的集成环境如宝塔、护卫神、phpenv等都是可视化的界面操作,这些都是能够直接在服务器上安装使用的,其安全性还是非常高的,主要是这些集成环境都可以任你选择使用Apache还是nginx。
nginx这里顺便提一下,某些PHP集成环境时不能直接用于服务器上的哦,我看见有部分站长把PHPnow、PHPstudy这类本地开发集成环境用于服务器上,这是不安全的,原因是没有做相关的安全设置,用于本地写个前端模板很靠谱,但是在服务器运行很危险。
不管你使用集成环境还是手动单独安装的PHP环境,是win还是Linux系统,在使用时要检查一下php.ini这个文件里面的设置,几乎很少有人注意到php.ini文件里面的配置会带来安全隐患,如果你无意看到本文建议收藏备用。
在php.ini文件中,这三处设置一定要改,很有可能你的程序很安全、系统也很安全,但是由于配置了不合理的PHP解析方式,hiker找到了漏洞,这个文件很少有人