网站建成后,维护和管理就成为了需要持续进行的工作。在本章中,将对网站的内部链接优化、高效维护、PR的提升方式进行介绍。
一、优化网站的内部链接
二、网站高效维护三大常识
三、提高网站PageRank有妙招
四、站点交换链接 也要谨防假冒
五、反对低俗 禁止网站的违规内容
六、简单配置 让网站服务器固若金汤
七、了解“蜘蛛” 提高网站收录
八、巧妙加快网页显示速度
九、提高域名PageRank的小技巧
十、避免杂乱 在线管理网站文件
十一、网站故障实时监测自动提醒
十二、为网站简单添加搜索功能
以上内容详细信息可到“互联网创业成功之道(五):为网站简单添加搜索功能”阅读。
十三、网站防黑的安全小锦囊
个人站长最怕但也是最常遇到的,可能就是网站被入侵了。由于大多数个人网站使用的程序都是公开的程序,所以往往更容易遭受攻击。不过,如果做到了以下几点,网站安全性就会增强很多。
1.简化功能 删除多余程序
一些网站喜欢使用程序外置的各种插件,有的还是测试程序。这些插件存在不少问题,这样一来,黑客就可以很容易地对网站进行旁注等入侵,导致网站安全存在极大的隐患。因此建议网站在进行一些动易插件测试之后,将不用的程序文件全部都删除,以免对网站的正常运行造成危害。
使用网上发布的建站程序,有一大好处就是会不断地进行升级,建站程序的官方网站常常会有各种升级包发布,或者专门针对某些程序漏洞发布的补丁程序。所以,经常在官方网站上下载补丁也是保障安全的一个方法。
小提示:
在下载建站程序的时候一定要到大型网站,并且要自行进行查毒后再上传到服务器上使用。
2.密码防护 设置复杂的口令
设置复杂的帐号密码是老生常谈的话题,网站程序也是一样,如果设置了足够复杂的管理密码,即使黑客通过下载数据库得到了密码的MD5数据,也很难对其进行转换破解。特别需要注意的是一般程序都有默认的原始密码,往往很多站长会忽略。
设置了复杂的密码,还需要注意保护个人的信息,通常站长喜欢在网站上放上自己的邮件地址,方便广告商联系投放广告,但是目前支付宝甚至网银的交易等信息都会在邮箱中保存。很有可能会造成黑客使用社会工程学的方式套取信息,从而破解密码。
3.查补漏洞 让网站坚不可摧
其它的方法还包括经常在程序官方网站下载补丁等,如果是使用服务器的网站,则需要提高服务器安全性,服务器的权限分配一定要仔细设置,这往往是很多站长容易忽略的问题,而且要注意务必要安装所有的Windows更新补丁。
需要提醒大家的是,如果比如网站仅使用了单一的程序语言,如使用PHP+MySQL架构的建站程序,就可以在IIS应用程序配置里只留下对应的权限。另外,由于很多网页木马都是使用asa后缀做为文件名称隐藏,所以如果我们不使用ASP程序,就一定要去掉asa选项。对于使用虚拟主机系统的用户,建议最好不要使用ASP、PHP语言都支持的全功能网站空间,而是选用单一脚本空间。
图26
经过以上设置后,黑客就算破解了程序的管理帐号密码进入网站后台,也不能进行其它诸如提升权限、种植木马的恶意操作,也就不能进行更严重的破坏了。
十四、访客查询以及安全措施
1.查出访问者IP地址
网站遇到黑客或者恶意访问者怎么办,比如有人通过软件将网站内容非法采集。遭遇类似不怀好意的访问者,就得浪费大量的时间。即使真的想“固守阵地”也无法时刻呆在网站上。怎么办,把网站一关了之?当然只是开玩笑罢了。忍无可忍,无须再忍!看我的,几步确定恶意浏览者的身份!
Tips:为何需要查出IP地址
IP地址是确定浏览者身份的重要信息,它用于在TCP/IP通讯协议中标记每台计算机的地址。即使目前的网络大多数情况下都是动态IP地址,但是动态IP地址由ICP分配,一样受到了规范的管理,根据IP信息公安部门仍然可以确定浏览者的具体方位。
要查询网站浏览者的IP等信息,可以通过很多种方法来完成,比如根据服务器的IIS文件进行分析得出、使用专门的IP获取工具查询、或者是通过网站程序的功能实现。
其实可以用一种最简单的方法,就是利用大多数网站都正在使用的统计程序。一般来说由于很多网站都使用了类似统计功能,所以无需添加或改动任何网站文件,就可以直接使用。因为统计程序最基本的一个功能,就是确定浏览者的IP地址等信息。
第一步:如果还没使用过任何统计,可以先进行统计服务的申请。而后在网站的相应位置放置统计代码。要是早就已经用上统计程序,就可以跳过这一步骤了。
第二步:这里就以51啦统计服务进行说明,登录网站后台后,点击“在线用户”栏目,将会显示详细的访问者各项信息,包括访问入口、停留时间、离开的网页等,可以根据留言的时间大致确定恶意浏览者的方位,而后在访问者列表中进行详细的查找。
图27 统计列表中的访问者
第三步:确定恶意浏览者的IP地址后,可以点击该地址,程序将显示该访问者的具体信息,列举了该IP的网络线路、来路、入口,甚至是电脑信息,如系统版本、浏览器类型、屏幕分辨率等详细的参数。
图28 某访客的详细信息
为了使信息更加精确,我们还可以把IIS服务器的日志文件结合起来进行分析,从而确定具体访问者的浏览信息,如几分几秒浏览过那个文件,而后又转向那个网页。如此精确的信息,还怕找不出“幕后黑手 ”?!
2.决不手软!屏蔽浏览者访问权限
在查到了恶意浏览者的IP地址后,这时可以使用一些方法和技巧阻止恶意攻击的行为,最好的方法就是禁止他的访问权限,只让该IP地址无法浏览网站,那么无论是采集还是恶意破坏都无法得逞,这样一来我们的目的也就达到了。
小提示:
因为目前无论是宽带还是其它的上网方式,大都是自动分配的动态IP,这样一来屏蔽单个IP的话可能就不起作用了。但这些动态IP一般都只在一个网段中变化,也就是C类主机地址,可以将整个IP段屏蔽掉。
(1)虚拟主机如何屏蔽
登录虚拟主机管理后台,现在大多数虚拟主机管理系统都具备了设置拒绝访问IP的功能,如图所示进入相关设置页面,而后按照文字提示输入需要屏蔽浏览的IP地址,确定提交后,就大功告成了。
图29 设置虚拟主机拒绝访问IP
(2)服务器的设置方法
IIS中提供了IP限制的机制,可以以此来限制不能访问网站的IP地址。方法是:打开IIS的属性,依次点选安全性→IP地址和域名限制。在弹出的界面中选择“授权访问”,而后添加需要屏蔽的IP地址,最后确定即可。
经过以上设置后,相对应IP的访问者在进入网站的时候,将出现HTTP错误403禁止访问的提示。这样一来,就把恶意浏览者阻挡在“门外”啦。
十五、巧设网站权限 拒绝黑客入侵
在网站运营的过程中,最令站长头痛的的可能就是网站被入侵了,实际上,如果提前设置好网站的目录权限,就可以保证网站能够经受大部分的漏洞攻击。而设置权限的方法也并不难,本文介绍了设置文件目录和数据库权限的方法,只要根据本文一步步进行操作,就可以大大的提高网站的安全性。
1.网站目录权限的设置方法
大多数网站都是采用程序搭建,对于系统管理的目录,可以将其设置为可读、也可执行脚本,但不可写入的权限;但是对于放置网页静态文件的目录,以及放置图片文件、模板文件的目录,就可以将其设置为可读写,但不可执行的系统权限。在权限分配明确之后,即使万一系统被入侵,也只能浏览而无法对文件进行直接的操作。
图30
对于能够执行脚本的文件,最好设置只能读而不能写的权限(图),而需要写入的文件则将其设置为不能执行脚本,目录权限这样配置下来,网站系统的安全性会大大提高。
2.数据库权限也要仔细设置
对于网站来说,数据库可以说是站点的核心,所有网站的内容都存储在数据库中。所以说数据库安全也是需要注意的地方。对于MySQL数据库来说,最好不要对网站直接使用root管理用户的权限,而要专门为每个站点开通一个数据库帐号,而且将账户的权限设置仅限于操作当前数据库目录,并且对这些单独的MYSQL帐号去掉file和EXECUTE的执行权限,这样一来,即使数据库被SQL注入,也只能到数据库一级,而无法拿到整个数据库服务器的权限。这样一来,只要经常对网站的数据库进行备份,就很少会出现数据库被入侵的情况。
另外需要注意的是,由于很多建站系统并没有使用数据库的存储过程,因此最好禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。
小提示:对于Access的数据库来说,可以将数据库的存放位置进行修改,最好是较为隐蔽的目录,这样会避免数据库文件被恶意探测下载。另外,一些程序也支持修改后缀,比如可以将.mdb的数据库文件修改为.asa等后缀名,同样可以有效的保护数据库安全。
3.删除不需要的文件
很多内容管理系统中,都会在空间中存在很多以后并不需要的文件,最普遍的可能就属于系统安装文件了,这类文件通常被命名为install.php或者install.asp,如果你的空间中存在类似的文件,现在就赶快删除吧。
另外,一些CMS也会存在很多功能,如问答系统等等,但是往往这些功能在网站中都不会用到,这时候就建议将这些功能的目录删除,或者仅保留html静态页面,然后将目录设置为可读写但不可执行的权限。
十六、拒绝“被黑”的安全预防
无论是大名鼎鼎的Windows操作系统,抑或应用广泛的建站程序,都不可避免地会出现各种大大小小的安全漏洞,常常会有黑客爆出各种建站程序的漏洞并同时发布了漏洞利用工具。面对这种情况,站长除了及时打好相应补丁做好应对措施以外,还应加强程序和服务器的安全性。
目前大多数站长在建站时都是使用现成的网站程序,诸如ASP或PHP语言建站程序,虽然使用方便但也存在一定的安全隐患,不过只要我们提前做好安全防范,就能够高枕无忧。
1.网站的安全预防
(1)将测试用过的程序文件删除
一些网站喜欢使用程序外置的各种插件,有的还是测试程序。这些插件存在不少问题,这样一来,黑客就可以很容易地对网站进行旁注等入侵,导致网站安全存在极大的隐患。因此建议网站在进行一些动易插件测试之后,将不用的程序文件全部都删除,以免对网站的正常运行造成危害。
(2)不要轻易用第三方插件
很多CMS程序的第三方插件很多,但是有些并不是官方人员开发的,这些程序有很多都存在漏洞,甚至有人故意在其中安放了很多恶意脚本。所以建议不要轻易下载使用第三方程序的插件。
(3)将Access数据库改为SQL
Access在作为网站数据库使用时存在着不足,诸如安全等问题一直不是很有保障,很容易被恶意下载。可以考虑将网站的Access数据库改为SQL数据库,很多CMS程序的官方网站也提供了相应转换程序的下载,使用SQL的数据库网站的安全性会大大增强。
(4)经常在程序官方网站下载补丁
使用网上发布的建站程序,有一大好处就是会不断地进行升级,建站程序的官方网站常常会有各种升级包发布,或者专门针对某些程序漏洞发布的补丁程序。所以,经常在官方网站上下载补丁也是保障安全的一个方法。
2.生于防范,死于疏忽
(1)管理文件名巧修改
很多网站程序的管理后台都使用默认的文件名称,例如admin等常用单词很容易被猜解,类似的文件名称对网站的安全性只有害而无益,如果我们将文件名改为复杂的字母组合,比如将admin.php修改为endtoweb123.php等名称,管理网站的时候直接输入文件名称即可(如http://www.你的域名.com/endtoweb123.php)。这样做的好处就是,即使黑客破解了程序的管理账号密码,也无法登录管理后台,从而阻断了黑客的入侵,也就不会造成更大的损失。
(2)加强管理账号复杂度
设置复杂的账号密码是老生常谈的话题,网站程序也是一样,如果设置了足够复杂的管理密码,即使黑客通过下载数据库得到了密码的MD5数据,也很难对其进行转换破解。虽然复杂的密码在使用时会显得比较麻烦,但需要记住的是我们的偷懒只会方便了黑客。字母+数字+符号是比较好的密码组合。
(3)提高服务器安全性
服务器的安全设置方法众多,所谓简单就是实用,我们就以Windows2000系统为例进行说明。其它Windows系统的设置方法也都大同小异。
第一步:依次点选“IIS文件安全性→文件安全性→匿名访问和安全控制”,在弹出的控制面板中去掉“允许匿名访问”前的复选框,然后增加一个“集成Windows验证”。或者也可以把系统中的默认管理员账户禁用,另外再建立一个管理员账户使用。
第二步:如果网站仅使用了单一的程序语言,如使用PHP+MySQL架构的建站程序,就可以在IIS应用程序配置里只留下对应的文件。另外,由于很多网页木马都是使用asa后缀做为文件名称隐藏,所以如果我们不使用ASP程序,就一定要去掉asa选项。对于那些使用虚拟主机系统的用户,建议最好不要使用ASP、PHP语言都支持的全功能网站空间,而是选用声誉较高的IDC提供的单一脚本空间。
第三步:服务器的权限分配一定要仔细设置,这往往是很多站长容易忽略的问题,而且要注意务必要安装所有的Windows更新补丁。
经过以上设置后,黑客就算破解了程序的管理账号密码进入网站后台,也不能进行其它诸如提升权限、种植木马的恶意操作,也就不能进行更严重的破坏了。
敬请关注第五章其他段落:
十七、亡羊补牢 网站被黑后的处理方法
十八、让网站无损过渡的操作方法
十九、网站的数据库备份与管理 |
