青岛做网站
新闻动态

提升网站安全降低网站被劫持风险,有效应对百度烽火算法2.0升级

2019-10-15来源:青岛做网站

    我们在制作网站和运营网站时比较头疼的问题就是网站经常被攻击,网站时不时的被劫持或者被挂木马等各种各样的安全问题。网站出现以上安全问题不仅影响正常的业务开展,同时也会搜到搜索引擎的打击甚至网站被降权,最终影响网站的收录和排名。根据百度最新的公告百度烽火算法2.0近期将升级,扩大打击网站安全性差及网站劫持问题频发的网站。所以,作为站长朋友一定要注重网站安全问题,以免影响网站的正常运营。

    根据2019-10-11百度发布的烽火算法2.0近期升级公告,为了保证搜索的公正性以及搜索用户的搜索安全,最近百度将对烽火算法2.0 进行升级。主要针对的是网站安全性差、劫持问题频繁出现、以及主动设置跳转造成劫持效果的网站,这一次升级烽火算法2.0 扩大了覆盖范围。

同时百度百度官方也给出了这次烽火算法2.0的主要整改的一些范围:

1、存在主动劫持问题的站点,请尽快清理问题页面,不要再尝试类似做法;

2、存在被动劫持的站点(常见的有:漏洞被黑、广告劫持、JS劫持、局域网劫持等),为了降低网站被劫持的风险,我们建议您:

(1)对网站进行HTTPS改造,加强网站安全性,可参考《HTTPS改造全解析》;

(2)推动第三方站点改造HTTPS或者自查,确保第三方资源提供者的网站统计、网站优化、推广广告等代码不存在恶意劫持的情况;

(3)搭建百度智能小程序,增强网站安全性和可控性,降低被劫持的风险。

同时,我们发现部分站点出现回退劫持,是因为在站点页面上携带了部分第三方的外链JS。我们集中定位了一批有问题的第三方JS,具体JS地址见:《存在劫持风险的第三方JS地址》。请广大开发者关注,并自查网站代码里面是否携带了这些JS,如果携带了,请尽快与JS提供方沟通或者下线这些JS。

所以,通过这次百度烽火算法2.0升级来看,作为网站运营者我们应该根据注重网站的安全性,需要把网站https改造和小程序的建设有效推进,并且要从认真自查网站上是否存在劫持风险的第三方JS地址,以防止被升级后的烽火算法2.0击中!

最后,青岛做网站跟大家分享一下如何预防和减少网站被劫持的风险?

可以说很多网站之所以频谱被劫持或者出现安全问题主要是因为网站本身存在漏洞导致,国内网站大部分都是开源CMS系统的建站,像SQL注入漏洞,XSS跨站漏洞,远程代码执行漏洞,csrf欺骗漏洞,数据库漏洞都会导致网站被篡改,针对于网站被篡改的防护建议:

1、为域名注册商和注册用邮箱设置复杂密码且经常更换。使用单独的DNS服务,也需要对密码进行上述设置。同时注意不要在多个重要注册地使用相同的用户名和密码,预防网站域名被劫持。

2、如果使用的是开源的CMS系统我们需要定期检查网站的系统代码版本是否是最新的,如果不是请尽快升级到最新版本。

3、配置Web站点文件夹及文件操作权限。Windows网络操作系统中,使用超级管理员权限,对Web站点文件及文件夹配置权限,多数设置为读权限,谨慎使用写权限,如果无法获取超级管理员权限,这样程序便无法生根,网站被劫持的可能便可以降低很多。

4、加强网站的防SQL注入功能,网站是否使用防止SQL注入的过滤代码,包括get、post、cookies等提交方式的安全过滤,SQL注入是利用SQL语句的特点向数据库写内容,从而获取到权限的方法。

5、要变更网站的后台管理地址,不要使用默认的admin、manage等管理地址,管理员的账号密码要修改为大小写字母+特殊字符+数字的12位组合,这样大大的提高了md5破解的难度。