对于许多网站主而言,网站的安全维护一直是网站管理最为核心的工作;但由于网站安全更多体现在网站服务器空间以及技术功能的稳定性,所以一般网站主会认为网站安全维护更多是技术员工所要考虑的问题,但其实网站安全是一个综合性工作,而现实生活中,网站主最容易忽视的公司网站管理后台的安全问题。
为什么网站中毒了?是出什么问题了?
周三时,广州简美网络顾问陌野就遇到这样一个客户——刚刚改版的网站突然之间在Google等搜索引擎上显示“该网站存在风险,可能有病毒”;而客户所从事的是正规的模型制作工作,并不可能存在有违反相关法则的信息内容,所以客户相当疑惑,怎么正当的网站突然间就出现问题了呢?
后来经过陌野对网站进行初步的网站诊断,发现其中首页的代码出现了异常——首页底部代码有一些非法链接,并且在首页没有显示;显然这是有人恶意添加的,并隐藏了这段非法代码。
起初,陌野以为这是某个恶意修改网页的黑客所为,但当客户给到陌野后台管理入口及账号时,问题就很清晰了——客户用的是当时为其建站的公司所提供的初始账号及密码,这就导致了网站管理后台出现了巨大的安全漏洞;如果对该公司网站管理后台稍有了解的别有用心的人,一旦得知初始密码,就可以随意进入网站后台管理,进行信息的恶意篡改。
而在陌野对其网站进一步诊断后发现,其网站还存在着诸多问题:一些明显的信息导航链接缺失,无法链接到相关页面;部分页面处于内容缺失状态;主要客户案例竟然是同一内容的重复输出,并且内容与图片信息不一致;内容更新率非常低,信息多是去年内容。
在与客户沟通过后发现,原来为其建站及改版的公司并未提供相应的技术维护以及售后服务,试问这样的网站怎么没有安全问题呢?
像保险柜一样对待你的网站管理后台。
在这个案例中,由于缺乏指导,客户其实并不了解网站管理后台账号安全问题的重要性,认为网站管理后台的安全主要是技术问题,只要界面不出现混乱,网站可以打开,就意味着网站正常运作,但其实不然。
由于普遍网站主对于网站的源代码认识较少,并不能很好识别源代码中被恶意添加的部分,所以即便网站出现问题,网站主页很难察觉。但这并不意味着网站主就无法对网站管理后台进行良好的监控。
在这里,陌野给各位从事网站建设及管理运营的朋友提几个建议:
第一是自定义修改初始化密码,网站管理系统的提供商所提供给你的初始账号及密码一定要进行适当的修改,因为初始化密码一般都过于简单,容易被人破解,一旦破解,就等于你的网站管理后台开放出来任人进出;
第二是增加后台管理权限,网站后台管理账号不避免地会让一些除了网站管理员的其他人士知道,但网站管理员对初级操作者给予适当的权限设置,避免因为初级操作者的错误操作导致网站后台出现问题,也可以防止网站管理后台遭受恶意修改;
总而言之,网站主要像对待保险柜一样对待你的网站管理后台,这样才能免于不必要的网站安全漏洞问题,保证网站的安全稳定。