那天刷手机看到有人QQ网站被黑了,吓得我赶紧把自家网站也查了一遍。步骤特简单,跟着我一步步整就行,整个过程半天就搞定了。
第一步 摸清自家老底
我先把电脑里所有和网站有关的文件全翻出来了。在本地新建了个文件夹,数据库备份直接拖进去压缩加密,网页源码挨个检查账号密码有没有直接写死在代码里——去年就吃过这亏,这回学乖了拆得干干净净。
- 把后台登录链接改成火星文组合,admin这种默认账号全删光
- 服务器防火墙调成疯狗模式,陌生IP直接拒
- 插件能删就删,留着的全升级到最新版
第二步 上工具扒裤子
找了个开源的检测工具(别问名字,问就是随便搜的),设置线程调到最低档位慢悠悠扫。泡咖啡的功夫弹出来三十多条高危警告,吓得杯子差点扣键盘上。
最离谱的是上传功能漏洞,测试时传了张带脚本的图片,结果网站居然直接执行了!赶紧拿胶带代码把文件类型限制死,图片裁切功能彻底关掉。
第三步 实战钓鱼测试
晚上八点故意开着后台登录页,用另一台电脑伪装香港IP来撞库。好家伙十分钟就抓到七波爆破攻击,有个憨批用“admin/123456”试了五十多次。立马给登录加了图形验证码和错误锁定,超过三次错就封IP两小时。
折腾完重新扫一遍,结果页满屏绿色才敢喘气。要我说网站安全就像穿裤衩,看着简单实际露一点就完蛋。平时多备份少装插件,省得跟我似的熬夜改代码改到鸡叫。
