网站做好后我们还需要考虑的一个问题就是网站的安全性,网站如何因为安全性导致了密码泄露或者资料被串改,影响的不单单是网站还有我们的企业形象。
一般黑客在入侵网站的时候通过注入漏洞、上传漏洞获取到了网站的管理员账号和密码,那么下一步就是登陆我们的网站后台,通过网站后台串改信息或获取到网站webshell,更有甚者还能够拿到服务器的管理权限。
网站安全最主要的地方就是网站的后台,一般使用dedecms、phpcms等开源cms的目录都是提前预设好的,比如织梦的后台为域名+dede,phpcms的后台为域名+admin.php,帝国CMS的后台为 域名+e/admin, 虽然能做到更改,但是访问地址还是网站域名+目录或者文件名,这样依然还是有暴露的几率,那么如何能保证我们的网站不被黑客入侵,怎样做才能够提升网站的安全性能,下面我们来分享下我们文汇软件在做项目的时候所用到的方法。
我们将网站后台和网站程序的域名分离开来,为网站后台文件夹设定单独的访问域名,那么用户在访问网站时,即使知道了网站后台文件夹的地址和目录,那么在不知我们后台管理域名的时候,是一样无法访问的,我们程序可以判定用户来访的域名是否为我们正常的管理域名,如果为我们正常的管理域名则正常显示,否则就可以启动自主防御进行拦截。
除了域名单独分离开外,我们网站还对账号和密码信息进行了二次加密功能,加密是通过后台自动生成的网站秘钥,针对数据库里的账号密码和信息进行重新加密,如果入侵者没有每次生成的秘钥,对于数据的获取也是没办法操作的,而且在配合HTTPS模式,HTTPS是全球公认的最安全的加密协议,针对想通过抓包来获取数据的入侵者更是难上加难了。想了解https的可以参考这篇文章:HTTPS和HTTP的区别是什么,有那些注意事项?
通过以上的介绍是否已经了解了我们文汇软件对于后台安全的一些做法,这些功能并不是付费的功能,而是我们文汇软件所开发的网站中的标配功能,就是说跟我们合作的每一个客户,我们的后台均带有这些功能。
