正在阅读：谈谈网站安全性的问题谈谈网站安全性的问题

 　　刚入职没多长时间，网站一直有人上传木马，基本网站一直处在被人攻击的状态，纠结阿。一直忙着解决这问题了。今天好不容易有些成就，就拿出来和大家分享一下，如果大家有什么好的方法，可以教教我.这两天为了这事儿头疼死了.

　　网站现在大体的情况是dede+smarty开发的博客系统+dz，百度和谷歌的权重都在5左右，所以访问量还是比较大的。

　　dede公认的漏洞比较多，而且接手的这个dede还二次开发过。所以短时间内找漏洞是不太可能了，如果有朋友之类的话，可以让他们一起检测，毕竟一个人太麻烦了，或者加我QQ2387813033

　　1.网站目录安全性

　　1>所有的目录可以设置777权限，css和images文件，css可以设置读写权限，不给执行权限，css经常改的话给写权限，图片文件只给读的权限就可以了，去掉所有不用经常改的PHP文件写入权限，不给任何攻击者将代码写入php中的机会

　　2>经常扫描是否有特殊后缀或者新被上传的文件，看源码，尤其是inc后缀的

　　2.网站安全检测

　　1>360网站安全检测，这个还是比较好使的，不过360有没有其他的想法就不知道了，哈哈检测完了有修复的提示。

　　2>自己写一个检测网站木马文件的脚本，网上也有，他本身就是木马，找一个没有后门之类的，上传上去，自己检测。这个还是非常不错的。看清楚源码以后删除木马文件。

　　3>使用DOMAIN3.5之类的上传注入软件自己测试一下网站。

　　3.修改服务器配置增加安全性

　　1>在apache配置文件中禁止一些目录执行php文件的权限，比如uploads/，html/等。下面是一个例子:

　　2>有些不希望别人访问的目录也直接禁止掉。

　　3>修改php.ini的disable_functions添加禁止的函数，如

　　system，exec，shell_exec，passthru，proc_open，proc_close， proc_get_status，checkdnsrr，getmxrr，getservbyname，getservbyport， syslog，popen，show_source，highlight_file，dl，socket_listen，socket_create，socket_bind，socket_accept， socket_connect， stream_socket_server， stream_socket_accept，stream_socket_client，ftp_connect， ftp_login，ftp_pasv，ftp_get，sys_getloadavg，disk_total_space， disk_free_space，posix_ctermid，posix_get_last_error，posix_getcwd， posix_getegid，posix_geteuid，posix_getgid， posix_getgrgid，posix_getgrnam，posix_getgroups，posix_getlogin，posix_getpgid，posix_getpgrp，posix_getpid， posix_getppid，posix_getpwnam，posix_getpwuid， posix_getrlimit， posix_getsid，posix_getuid，posix_isatty， posix_kill，posix_mkfifo，posix_setegid，posix_seteuid，posix_setgid， posix_setpgid，posix_setsid，posix_setuid，posix_strerror，posix_times，posix_ttyname，posix_uname

　　4.其他方式

　　1.打补丁，尤其是坑爹的dede

　　2。经常修改服务器的帐号密码，ftp帐号密码，最好用sftp

　　3.最好把dede后台的文件管理器关闭，还有dede数据库备份还原。以及文章里的图片上传之类的全部做过滤，禁止上传其他格式，尤其是php格式的文件。

　　4.对linux服务器不是特别懂，所以就先不说这个了。以后学成了再和大家讨论