如何防止他人在站長平臺(tái)驗(yàn)證你的網(wǎng)站?

2015-08-27 13:47:00 來源:站長平臺(tái) 作者:佚名 人氣: 次閱讀 216 條評(píng)論

最近有站長在討論自己網(wǎng)站域名被其它賬號(hào)驗(yàn)證的問題。如果說在自己重新驗(yàn)證后,又被別人驗(yàn)證了,那你就要小心了。鄙人臉厚,就在這里說說我的看法。...

百度站長平臺(tái) 域名安全 網(wǎng)站安全 網(wǎng)站優(yōu)化

有站長問道“怎么我的二級(jí)域名被不認(rèn)識(shí)的ID驗(yàn)證了?”關(guān)于這種情況,主要需要注意以下幾點(diǎn):

一,注意網(wǎng)站各種帳號(hào)的安全,使用復(fù)雜密碼;

二,保證網(wǎng)站后臺(tái)權(quán)限可控;

三,經(jīng)常使用安全工具進(jìn)行漏洞檢測(cè);

四,使用平臺(tái)提供的批量驗(yàn)證子域功能,批量驗(yàn)證所有子域。

下面給各位同學(xué)推薦52PK產(chǎn)品負(fù)責(zé)人孫二坤的分享文章。最近有站長在討論自己網(wǎng)站域名被其它賬號(hào)驗(yàn)證的問題。如果說在自己重新驗(yàn)證后,又被別人驗(yàn)證了,那你就要小心了。鄙人臉厚,就在這里說說我的看法。咱們先看下網(wǎng)站的三種驗(yàn)證方式條件:

百度站長平臺(tái) 域名安全 網(wǎng)站安全 網(wǎng)站優(yōu)化

百度站長平臺(tái) 域名安全 網(wǎng)站安全 網(wǎng)站優(yōu)化

百度站長平臺(tái) 域名安全 網(wǎng)站安全 網(wǎng)站優(yōu)化

根據(jù)站長平臺(tái)列舉的可以驗(yàn)證網(wǎng)站域名的方式,對(duì)于前述問題,我們大概的可以初步分析出有三種情況會(huì)造成“自己的網(wǎng)站域名被別人驗(yàn)證”:

•對(duì)方有上傳驗(yàn)證文件的權(quán)限;

•對(duì)方可以修改我們的網(wǎng)站首頁代碼;

•對(duì)方可以修改我們的域名解析。

OK,首先我們要知道一個(gè)事實(shí):百度站長平臺(tái)的驗(yàn)證機(jī)制是“搶注式”。什么是”搶注式“:只要有網(wǎng)站權(quán)限(上傳文件或者修改網(wǎng)站首頁代碼的權(quán)限),就能進(jìn)行一些操作來驗(yàn)證網(wǎng)站

然后我們進(jìn)一步分析。

問:對(duì)方如何擁有在自己的服務(wù)器/云主機(jī)/虛擬空間上面上傳/修改文件的權(quán)限呢?

答:不管是個(gè)人站還是公司站,一般情況下都是對(duì)方有對(duì)應(yīng)的賬號(hào):ftp、sftp、root(windows服務(wù)器則是管理員賬號(hào))。另外,部分cms也有上傳文件或者修改頁面代碼的功能。只要有這些賬號(hào),對(duì)方就可以實(shí)現(xiàn)“文件驗(yàn)證”或者“html標(biāo)簽驗(yàn)證”。

百度站長平臺(tái) 域名安全 網(wǎng)站安全 網(wǎng)站優(yōu)化

問:那對(duì)方怎么能修改我們的域名解析呢?

答:這個(gè)就簡單了,對(duì)方只要知道我們的域名解析平臺(tái)的賬號(hào)就可以了(域名注冊(cè)商網(wǎng)站如godaddy、萬網(wǎng)、易名等,第三方dns解析平臺(tái)如dnspod等,第三方cdn加速平臺(tái)如百度云加速也可以實(shí)現(xiàn)域名解析的功能)。

上面所說的都是正常情況下的例子。還有兩種是”非正常“情況下,對(duì)方也可以擁有在我們網(wǎng)站進(jìn)行上傳/修改文件的權(quán)限:

•網(wǎng)站程序有后門漏洞,對(duì)方通過漏洞進(jìn)行了上傳/修改文件的操作;

•網(wǎng)站引用了其它網(wǎng)站的js,對(duì)方通過js代碼來下載腳本文件,然后利用腳本文件自動(dòng)生成或者修改頁面代碼。

不過,誰會(huì)這么無聊,黑網(wǎng)站就為了獲取站長平臺(tái)的驗(yàn)證呢?

上面列舉了造成問題的原因,那么我們下面開始研究下怎么解決這些人神共憤的問題。

不同的原因,我們就要針對(duì)性的提出不同的解決方法:

①檢查下網(wǎng)站的ftp賬號(hào)、sftp賬號(hào)、root賬號(hào)、管理員賬號(hào)、cms賬號(hào)是否被盜(通過查看賬號(hào)登陸日志來判斷)。最好統(tǒng)一改復(fù)雜點(diǎn)的密碼,用自動(dòng)生成帶算法的隨機(jī)密碼,如使用“花密”工具;

②把cms后臺(tái)的在線編輯文件/模板的功能關(guān)閉(普通內(nèi)容管理cms及博客系統(tǒng)都可以關(guān)閉此功能);

③利用各種網(wǎng)站安全工具進(jìn)行檢測(cè),如百度站長平臺(tái)工具“優(yōu)化與維護(hù)”中就有“安全檢測(cè)”和“漏洞檢測(cè)”兩個(gè)功能。當(dāng)然也可以用站長平臺(tái)推薦推薦的安全聯(lián)盟(我怎么可能會(huì)跟你說數(shù)字也有同樣功能的產(chǎn)品);

④修改域名管理平臺(tái)的賬號(hào),加強(qiáng)賬號(hào)安全,盡量使用二次驗(yàn)證登陸,如dnspod的D令牌等。

其實(shí),服務(wù)器安全這塊,小弟我并不懂,知道的也只是九牛之一毛的毛尖而已,大家應(yīng)該把這個(gè)皮球踢給公司的技術(shù)大牛們。

同時(shí)提醒各位同學(xué),像站長平臺(tái)這種比較特殊的網(wǎng)站,賬號(hào)密碼一定不要和其它網(wǎng)站一致,還有域名管理和第三方dns解析平臺(tái)的賬號(hào)密碼。