新闻源站点防止被黑经验分享
日期:2016-08-08 18:38
新闻源站点是被黑的重灾区,目前黑站之后挂的不良信息内容主要是博彩六合彩等赌博类内容。新闻源站点的后台程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被黑。此文为百度站长社区超级版主、负责江苏某地多个新闻源站点的网络营销指导和安全维护的洪石陈的心得分享。
一、新闻源站点被黑展现形式:
1、展现形式一:新闻源文章形式通过百度新闻搜索,能够很明显的看见,平均每天都有好几家新闻源被黑,黑客通过各种方式在新闻源站点发布博彩相关的信息,让百度新闻收录。
2、展现形式二:整站被篡改 百度搜索“博彩网”关键词,会发现这几点:首先大部分是有着百度网址安全中心提示的风险信息,其次很多网站本身并不是博彩类网站,而是正规的学校网站、公司网站、事业单位网站、新闻源网站等,整站都被黑客篡改成博彩类网站。
二、如何让网站安全系数增加:
(一)多种安全防护同步进行:适合中小型新闻源网站。
1、安全组合:安全狗(服务器及网站防护)+百度云加速(WEB常规防护和访问加速)+百度云观测(网站安全预警和日常监测)。
2、使用云防护工具:通常选择百度云加速,在安全防护方面,百度云加速可以同时防护包括SQL注入、XSS、Web服务器漏洞、应用程序漏洞以及文件访问控制等问题在内的十多种黑客渗透攻击和SYN Flood、UDPFlood、ICMP Flood、TCP Flood以及CC在内的多种DDoS攻击。通过云加速后台,可以看到每天的网站防护情况。
3、网站程序勤打补丁:现在很多新闻源网站用的系统使用了内容管理系统(cms),作为新闻发布系统,功能还算可以了,但是作为比较常见的内容管理系统(cms),也有另一个问题,那就是漏洞比较大众化,因为源码是公开的,所以很容易被研究出漏洞,需要对网站程序及时进行漏洞修复。
(二)对服务器进行常规的安全防护
1、登陆服务器设置授权ip和授权用户,3389端口改成别的端口号;
2、在上班时间之外,对服务器上的网站权限做设置,禁止文件修改,后台文件隐藏或迁移到根目录之外;
3、参考一些网站的安全设置,非限定的ip不能写入到数据库。
(三)不使用开源程序默认的robots文件
下图是一个地级市的新闻源站点的robots文件,从robots文件中可以看出,该网站用的是织梦后台,那黑客就可以通过各种针对织梦攻击的软件进行操作了,也可以针对织梦网站的常见漏洞进行扫描和针对性攻击了。
(四)针对开源程序,版本升级要及时1、出了新的版本,要及时进行版本升级。2、官方出了漏洞补丁,及时进行修复。三、网站程序安全防护示例(以dedecms为例)(一)最基本的安全设置:修改dedecms默认后台目录/dede/和修改管理员帐号密码;(二)如网站不需要使用会员系统,建议删除/member/文件夹;
(三)将/data/文件夹移到Web访问目录外,这条是dedecms官方建议,具体操作方法如下:
1. 将/data/文件夹移至web根目录的上一级目录
2. 修改/include/common.inc.php中DEDEDATA变量,将:define('DEDEDATA',DEDEROOT.'/data'); 改为define('DEDEDATA',DEDEROOT.'/../data');
3. 修改/index.php,删除如下代码(注:如首页生成静态且index.html索引优先于index.php可忽略此条修改。):
if(!file_exists(dirname(__FILE__).'/data/common.inc.php')){
header('Location:install/index.php');
exit();}
4. 配置tplcache缓存文件目录:登陆后台 > 系统 > 系统基本参数> 性能选项,将模板缓存目录值改为/../data/tplcache
(四)/plus/是dedecms漏洞高发目录,隐藏/plus/路径可防范该目录下文件产生的未知漏洞的利用,如需使用该目录下某个文件,可在.htaccess中添加相关规则实现白名单功能。
示例:假设plus目录名修改为/abcd9com/,网站需要使用后台栏目动态预览(路径:http://域名/plus/list.php?tid=栏目编号)和发布跳转文章(路径:http://域名/plus/view.php?aid=文章编号)的功能,则可在.htaccess添加如下代码:
RewriteEngine OnRewriteCond%{
QUERY_STRING} ^tid=(\d+)
RewriteRule^plus/list.php$ /abcd9com/list.php$1 [L]
RewriteCond%{QUERY_STRING} ^aid=(\d+)
RewriteRule^plus/view.php$ /abcd9com/view.php$1 [L]
四、新闻源站点已经被黑了怎么办 新闻源站点被黑有两个结果,第一是在百度搜索出现被黑的红色提示,第二会对新闻源的收录做惩罚,惩罚力度从暂停收录到暂停新闻源不等。
一、新闻源站点被黑展现形式:
1、展现形式一:新闻源文章形式通过百度新闻搜索,能够很明显的看见,平均每天都有好几家新闻源被黑,黑客通过各种方式在新闻源站点发布博彩相关的信息,让百度新闻收录。
2、展现形式二:整站被篡改 百度搜索“博彩网”关键词,会发现这几点:首先大部分是有着百度网址安全中心提示的风险信息,其次很多网站本身并不是博彩类网站,而是正规的学校网站、公司网站、事业单位网站、新闻源网站等,整站都被黑客篡改成博彩类网站。
二、如何让网站安全系数增加:
(一)多种安全防护同步进行:适合中小型新闻源网站。
1、安全组合:安全狗(服务器及网站防护)+百度云加速(WEB常规防护和访问加速)+百度云观测(网站安全预警和日常监测)。
2、使用云防护工具:通常选择百度云加速,在安全防护方面,百度云加速可以同时防护包括SQL注入、XSS、Web服务器漏洞、应用程序漏洞以及文件访问控制等问题在内的十多种黑客渗透攻击和SYN Flood、UDPFlood、ICMP Flood、TCP Flood以及CC在内的多种DDoS攻击。通过云加速后台,可以看到每天的网站防护情况。
3、网站程序勤打补丁:现在很多新闻源网站用的系统使用了内容管理系统(cms),作为新闻发布系统,功能还算可以了,但是作为比较常见的内容管理系统(cms),也有另一个问题,那就是漏洞比较大众化,因为源码是公开的,所以很容易被研究出漏洞,需要对网站程序及时进行漏洞修复。
(二)对服务器进行常规的安全防护
1、登陆服务器设置授权ip和授权用户,3389端口改成别的端口号;
2、在上班时间之外,对服务器上的网站权限做设置,禁止文件修改,后台文件隐藏或迁移到根目录之外;
3、参考一些网站的安全设置,非限定的ip不能写入到数据库。
(三)不使用开源程序默认的robots文件
下图是一个地级市的新闻源站点的robots文件,从robots文件中可以看出,该网站用的是织梦后台,那黑客就可以通过各种针对织梦攻击的软件进行操作了,也可以针对织梦网站的常见漏洞进行扫描和针对性攻击了。
(四)针对开源程序,版本升级要及时1、出了新的版本,要及时进行版本升级。2、官方出了漏洞补丁,及时进行修复。三、网站程序安全防护示例(以dedecms为例)(一)最基本的安全设置:修改dedecms默认后台目录/dede/和修改管理员帐号密码;(二)如网站不需要使用会员系统,建议删除/member/文件夹;
(三)将/data/文件夹移到Web访问目录外,这条是dedecms官方建议,具体操作方法如下:
1. 将/data/文件夹移至web根目录的上一级目录
2. 修改/include/common.inc.php中DEDEDATA变量,将:define('DEDEDATA',DEDEROOT.'/data'); 改为define('DEDEDATA',DEDEROOT.'/../data');
3. 修改/index.php,删除如下代码(注:如首页生成静态且index.html索引优先于index.php可忽略此条修改。):
if(!file_exists(dirname(__FILE__).'/data/common.inc.php')){
header('Location:install/index.php');
exit();}
4. 配置tplcache缓存文件目录:登陆后台 > 系统 > 系统基本参数> 性能选项,将模板缓存目录值改为/../data/tplcache
(四)/plus/是dedecms漏洞高发目录,隐藏/plus/路径可防范该目录下文件产生的未知漏洞的利用,如需使用该目录下某个文件,可在.htaccess中添加相关规则实现白名单功能。
示例:假设plus目录名修改为/abcd9com/,网站需要使用后台栏目动态预览(路径:http://域名/plus/list.php?tid=栏目编号)和发布跳转文章(路径:http://域名/plus/view.php?aid=文章编号)的功能,则可在.htaccess添加如下代码:
RewriteEngine OnRewriteCond%{
QUERY_STRING} ^tid=(\d+)
RewriteRule^plus/list.php$ /abcd9com/list.php$1 [L]
RewriteCond%{QUERY_STRING} ^aid=(\d+)
RewriteRule^plus/view.php$ /abcd9com/view.php$1 [L]
四、新闻源站点已经被黑了怎么办 新闻源站点被黑有两个结果,第一是在百度搜索出现被黑的红色提示,第二会对新闻源的收录做惩罚,惩罚力度从暂停收录到暂停新闻源不等。
版权声明:部分图片和文字来源于网络,出处无从查起,如涉及版权问题,请联系进行删除。
热门资讯
睿虎网络为你讲解什么是网站前台和网站后台
睿虎网络为你讲解什么是网站前台和网站后台,南宁网站建设公司,南宁网站建设,南宁睿虎网站建设公司什么是网..
日期:2019-09-13 浏览:0展示型企业网站制作需要把控好哪几个关键点
展现型网站和营销网站较大的不一样是两者营销推广的是公司,而前者高度重视的是品牌推广。企业官网要想要访问..
日期:2019-08-16 浏览:175企业网站制作有什么方式能选?
说到企业网站制作,最先,人们必须掌握的是,相关建网站的方法不停这种,一般来说,有几种方法较为普遍。二、..
日期:2019-08-01 浏览:76网站制作公司:网站设计中安全系数尤为重要
统计数据安全保密性是为了保证只能受权客户能够浏览统计数据,而且在传送全过程或存储过程中,别人不容易搜集..
日期:2019-08-17 浏览:150企业网站建设必须要注意的4个关键点
基本建设一个出色的有诱惑力的网站是公司开展互联网营销的取得成功的第一步。网站的导行基本建设一定要清楚一..
日期:2019-11-13 浏览:129企业网站建设的重点主要包含哪些
许多人觉得,网站基本建设的重中之重应当在视觉冲击上;(4)网站基本建设应合乎seo规定公司新建站的另外,也不可..
日期:2019-11-18 浏览:170通过网站SEO优化提升用户体验的方法有哪些
SEO优化中有个怪异的状况:关键字排名高,引流方法停站的浏览量要求精准,但跳失率高,转换低。通常网站最好的..
日期:2019-09-30 浏览:120
