關于網站安全和網站易用性相關問題的五點建議_建站經驗教程

推薦：解析提高網站內容頁面點擊率的方法
核心提示：其實我和你一樣也在為怎樣提高網站點擊率這事發愁。網站點擊率并不高的本站主似乎沒有多少資本來談這個話題。不過，我可以負責任地告訴你

      當今網站如牛毛一抓一大把，自然安全也就像電子商務一樣隨波越來越顯的重要起來，網絡、網站領域一向道高一尺,魔高一丈，沒有絕對安全的計算機與網絡、網站。就算裝了防火墻、殺毒軟件、定期有安全專家做安全檢測、評估并修復也不能說是安全的，一個網站，安全問題從多方面而來。光是任何一方面，都不可能保證絕對的安全。一個安全的網站，必須要各方面配合才能打造出來。首先有計算機的地方首先都應該遵守一定的內部計算機相關使用規則的前提下，相對而言可以做好以下五個方面確保其安全性：

1、域名管理權限：

最重要，至今中國已經有不少大網絡公司因為前期創業時域名注冊信息這些不重視，結果攤子做大了后鬧矛盾。網站做大后域名的擁有者就擁有一切話語權。域名解析一般為：自己確定需要宣傳的那個域名綁定服務器IP地址，對外宣傳;所有的域名都解析到自己需要宣傳的那個域名上去，一定要把頂級與www二級域名捆綁等操作，因為在中國內地普通網民對網址/域名的認識不到位，多統一認為www.wf0088.com這樣叫域名、網址，其實技術人員或學校書本出身的學生和非大陸人都認定xxx.com才是頂級域的。

2、網站數據備份：

網站數據量大了最好一天一備份，誰也不保證未來下一秒發生什么事。而且最好是有幾個備份存儲地，網絡數據安全性問題就如汶川地震一樣，沒什么預兆，包括技術性的、人為的、戰爭等非可抗性災害造成的等等。

3、服務器管理權限：

首當其沖的是服務器的安全，服務器本身如果被人入侵了，網站系統再安全，那也沒有任何作用。這重點是技術性跟服務器托管商交涉;

其次是FTP或遠程桌面管理、網站系統頂級管理等的帳號安全，如果人家破解了你的FTP或遠程管理權限，那也就等于窗戶開給人家爬，那家里的東西自然是隨便拿了。

再次主要是服務器管理員需要操作的很多技術性工作，網上都有相關文章的，自己管理服務器的站長，可以多查閱一些關于NTFS權限管理、IIS權限管理的資料。可以讓技術全權負責腳本程序、服務器安全的維護，盡最大可能確保數據365*24完整上線服務、頁面展開順利、服務器不宕機等。萬一發生任何問題確保第一時間能聯系上技術并第一時間找到問題出地并維護好，現在一般發生最多最可能的是洪水攻擊，相關信息可以baidu查詢了解，這個問題至今沒人能從技術上解決，什么防火墻都沒實質意義，頂多分散部分攻擊流，唯一有效解決辦法是：聯系服務器托管商更換服務器IP地址并查詢攻擊源給予警告，嚴重的報案。但網絡取證也是難點，所以一有什么問題首先應該保存好界面;

最后服務器上設置一般都應該設置404錯誤指向;即打開一個網站，之前有的內容頁，現在打開那個地址沒有東西了。不存在了。這時間404錯誤就起作用可以設置主動跳轉到一個自己設置的404指向頁面，比如跳往首頁等。器端運行的腳本代碼，比如動易系統、動網論壇都屬此類。腳本代碼的安全問題最主要最集中的問題出在兩個方面：SQL注入和FSO權限。

互動網站大多有數據庫，代碼通過SQL語句對數據庫進行管理，而SQL語句中的一些變量是通過用戶提交的表單獲取，如果對表單提交的數據沒有做好過濾，攻擊者就可以通過構造一些特殊的URL提交給你的系統，或者在表單中提交特別構造的字符串，造成SQL語句沒有按預期的目的執行，所以，開發人員結束開發檢查時應該加大表單數據的檢驗和過濾, 最好是讓所有通過表單提交的數據，分字符型和數字型，分別用一個專門的函數進行處理，當然也應該多考慮程序的教好容錯性，當然如果需要提供下載等可以考慮封裝在DLL組件中。

其次是上傳漏洞，一旦上傳了漏洞，攻擊者就獲得了站長的權限，甚至超過站長的權限(對整個服務器構成安全威脅)。這幾年來，眾多網站系統，都曾經出現過上傳漏洞的問題(尤其是06年的upload.inc上傳.cer等類型文件的漏洞)。但是為什么每次發現這種大規模存在的漏洞之后，都只有一部分網站被黑呢?當然不是攻擊者手軟或者良心發現，而是一些網站通過服務器設置，防止了這些漏洞導致的損失。

4、腳本安全：

腳本指在你的網站上的ASP,ASPX,JSP,PHP,CGI等服務

服務器端給各個不必要的目錄，去掉“執行”權限，改為“無”，也就是這個目錄下的文件，只能讀取，不能運行。比如一個論壇除了根目錄以外，其它所有目錄都只給讀取權限即可，關閉執行權限;動易系統給動易根目錄、各個頻道的根目錄以及User、Reg這些含有ASP網頁并且ASP要從瀏覽器訪問的目錄執行權限即可，其它都可以設置為“無”。尤其是上傳目錄，比如UploadFiles這樣的目錄，還有圖片目錄，一定要設置為只讀。這樣設置以后，即使攻擊者找到了上傳漏洞，把asp木馬上傳到了你的UploadFiles目錄，他也不能利用那個木馬做什么。

如果你的服務器采用NTFS文件系統，那么給網站文件所在的目錄設置好權限也很重要，網站所在目錄，只要給IUSR_你的機器名這個用戶開放了讀、寫權限就能正常運行。不要給EveryOne\Guest這樣的用戶賦予完全權限，非Web目錄，應該禁止IUSR_機器名這樣的用戶賦予權限，這樣可以避免上傳的腳本木馬給服務器造成嚴重的安全問題。

另外，在IIS的運用程序配置中，刪除不需要的程序映射，也是避免因為過濾不夠被攻擊者上傳了某些特殊類型的木馬進行攻擊的辦法。

首先應該盡最大可能保證程序的完整、易操作性;原則上應盡量少開附件上傳功能權限，但我們公司兩個網站的性質決定了必須開放這一點，方便上傳圖片等。其次是程序能靜態化處理一可以方便搜索引擎抓住、世界排名;二可以解決安全性很大的問題，也就是說一般以htm、html或shtml為網址后綴名。這樣的網頁一般的“黑客”這樣的網站，他們從程序技術上入手一般是沒有辦法的。

5、服務越少安全性越好：

這是網絡、網站界的一條絕對性經驗，當然好壞與使用程度需要酌情考量，所以一般見到真正做程序技術的人的網站權限相當少，基本不給自己以外的人除留言外任何操作性權限，界面相當簡潔。

注：本文為筆者根據最近工作需要為企業級管理層的幾點安全、易用性建議，加之最近有我03-05年期間的基地“紅客中國”的幾位老朋友聯系上與一些網上朋友在詢問當年那個嫩頭青“cnsir”是不是我，遂把此文貢獻出來對大家以參考之用，當然由于現在的工作時間、保密工作等關系本文章省略、更改若干字段;本文以IIS、asp、網站為基礎平臺分析，如有不恰之處和好的意見建議希望大家不吝賜教。

分享：淺析網站經營之道--從布局美化到理念目標
一、 首頁布局要求 1、用戶重點關注的的欄目在首頁有體現。 2、各欄目有首頁推薦功能 3、欄目風格統一并有變化 二、網站美化的要求 1、生動形象的logo。 2、logo圖片上有網站