在網站運營的過程中,最令站長頭痛的可能就是網站被入侵了,實際上,如果提前設置好網站的目錄權限,就可以保證網站能夠經受大部分的漏洞攻擊。本文介紹了設置文件目錄和數據庫權限的方法,設置權限的方法也並不難,只要根據本文一步步進行操作,就可以大大提高網站的安全性。
網站目錄權限的設置方法
大多數網站都是采用程序搭建,對於系統管理的目錄,可以將其設置為可讀也可執行腳本,但不可寫入的權限;但是對於放置網頁靜態文件的目錄,以及放置圖片文件、模板文件的目錄,就可以將其設置為可讀寫但不可執行的系統權限。在權限分配明確之後,即使系統被入侵,也只能浏覽而無法對文件進行直接的操作。
對於能夠執行腳本的文件,最好設置只能讀而不能寫的權限(如圖),而需要寫入的文件則將其設置為不能執行腳本,目錄權限這樣配置下來,網站系統的安全性會大大提高。
數據庫權限也要仔細設置
對於網站來說,數據庫可以說是站點的核心,所有網站的內容都存儲在數據庫中。所以說數據庫安全也是需要注意的地方。對於MySQL數據庫來說,最好不要對網站直接使用root管理用戶的權限,而要專門為每個站點開通一個數據庫賬號,而且將賬戶的權限設置僅限於操作當前數據庫目錄,並且對這些單獨的MYSQL賬號去掉file和EXECUTE的執行權限,這樣一來,即使數據庫被SQL注入,也只能到數據庫一級,而無法拿到整個數據庫服務器的權限。這樣一來,只要經常對網站的數據庫進行備份,就很少會出現數據庫被入侵的情況。
另外需要注意的是,由於很多建站系統並沒有使用數據庫的存儲過程,因此最好禁用FILE、EXECUTE 等執行存儲過程或文件操作的權限。
小提示:對於Access的數據庫來說,可以將數據庫的存放位置進行修改,最好是較為隱蔽的目錄,這樣會避免數據庫文件被惡意探測下載。另外,一些程序也支持修改後綴,比如可以將。mdb的數據庫文件修改為。asa等後綴名,同樣可以有效地保護數據庫安全。
刪除不需要的文件
很多內容管理系統中,都會在空間中存在很多以後並不需要的文件,最普遍的可能就屬於系統安裝文件了,這類文件通常被命名為install.php或者install.asp,如果你的空間中存在類似的文件,現在就趕快刪除吧。
另外,一些CMS也會存在很多功能,如問答系統等等,但是往往這些功能在網站中都不會用到,這時候就建議將這些功能的目錄刪除,或者僅保留Html靜態頁面,然後將目錄設置為可讀寫但不可執行的權限。
