一般顾客可能感觉不到，但站长朋友一定知道，假如一个网站放置了一段時间，不论它是什么，当你有一天去看它的时候，你可能会发现它已经被暂停了。事实上，网站被挂起是一种普遍现象，尤其是基于CMS开发的网站。网站一旦挂载，会给浏览者和网站自身提供一部分麻烦，如：
1、网页上会出现一部分恶意脚本，可能弹出大批垃圾广告弹出窗口，跳转到无关乃至非法的网站，插入大批链接，页面死圈等，降低浏览体验；
2、决定网站SEO成效，降低百度排名，网站很简单被降权等；
3、非法修改网站源代码，乃至删除网站程序文件，造成数据丧失。
上面提到的这些有害后果，其实网站一旦挂载，清理也是一件特别麻烦的事情，由于黑客已经破坏了你网站的源文件，而且不止一个地方插入了恶意代码。

那么这些黑客是如何将恶意代码植入咋们的网站程序的呢？

主要漏洞如下：
1、文件上传漏洞：如上传页面未验证上传文件的格式，使得上传动态脚本（如直接上传PHP文件），上传页面未验证权限，使得非法顾客可以上传文件等；
2、表单数据未过滤漏洞：例如，顾客在发布文章时，可以插入JS和CSS代码，这足以植入恶意脚本，这些JS和CSS代码将在页面呈现时运行；
3、SQL注入漏洞：存在SQL注入点，黑客可以入侵数据库开展操作，严重时乃至删除数据库；
4、管理后台弱密码漏洞：有一些管理后台账号密码太简单（如admin），一猜，直接登录后台，怎么操作就怎么操作
5、在发现该漏洞后，利用该漏洞，将恶意代码植入到web程序中，使得顾客在浏览网页后可以加载这些恶意代码，从而到达攻击者的目的。

现在咋们知道了黑客挂马的一般过程，如何防止网站挂马？结合我十多年的运行维护经验，提出一部分建议供大伙参考。
1、现在市面上的CMS源代码是公开的，故此0day中存在好多漏洞。漏洞公之于众后，只需找到这样的CMS建的站，几乎可以攻击胜利，故此范围很广。但假如咋们的程序是自行开发的，攻击者不知道咋们的源代码逻辑，攻击将特别困难。假如是基于CMS的网站，一定要注意官方补丁，及时修复。
2、在web开发领域，咋们一直强调顾客的任何输入全是不可信的。在获得顾客提供的数据后，咋们必须开展必要的验证（格式能否正确）和过滤（过滤一部分敏感字符）。
3、过滤掉这些信息：JS标签和代码、CSS标签和代码、HTML标签中的多种事件、单引号、双引号和SQL关键字；
4、这是特别重要的。即使攻击者获得上载漏洞，咋们也只允许将其上载到特定目录。假如其他目录没有写权限，它们将不可能被感染。假如他们没有执行权限，上传的动态脚本将不可能被执行。
5、背景地址更改为无法猜测的地址。密码必须设置得更复杂。
6、定期备份网站，然后做木马查杀，现在杀毒软件可以查杀网页木马。

新概念科技-电话：13585901130
专业的上海网站开发制作设计公司，有多样的网站开发经验，大批网站开发案例，主营集团品牌网站开发制作和设计，电商网站，小程序开发，微信公众号开发及各类管理系统开发等工作。