有站長問道“怎麼我的二級域名被不認識的ID驗證了?”關於這種情況,主要需要注意以下幾點:
一,注意網站各種帳號的安全,使用複雜密碼;
二,保證網站後臺許可權可控;
三,經常使用安全工具進行漏洞檢測;
四,使用平臺提供的批次驗證子域功能,批次驗證所有子域。
下面給各位同學推薦52PK產品負責人孫二坤的分享文章。最近有站長在討論自己網站域名被其它賬號驗證的問題。如果說在自己重新驗證後,又被別人驗證了,那你就要小心了。鄙人臉厚,就在這裡說說我的看法。我們們先看下網站的三種驗證方式條件:
根據站長平臺列舉的可以驗證網站域名的方式,對於前述問題,我們大概的可以初步分析出有三種情況會造成“自己的網站域名被別人驗證”:
•對方有上傳驗證檔案的許可權;
•對方可以修改我們的網站首頁程式碼;
•對方可以修改我們的域名解析。
OK,首先我們要知道一個事實:百度站長平臺的驗證機制是“搶注式”。什麼是”搶注式“:只要有網站許可權(上傳檔案或者修改網站首頁程式碼的許可權),就能進行一些操作來驗證網站。
然後我們進一步分析。
問:對方如何擁有在自己的伺服器/雲主機/虛擬空間上面上傳/修改檔案的許可權呢?
答:不管是個人站還是公司站,一般情況下都是對方有對應的賬號:ftp、sftp、root(windows伺服器則是管理員賬號)。另外,部分cms也有上傳檔案或者修改頁面程式碼的功能。只要有這些賬號,對方就可以實現“檔案驗證”或者“html標籤驗證”。
問:那對方怎麼能修改我們的域名解析呢?
答:這個就簡單了,對方只要知道我們的域名解析平臺的賬號就可以了(域名註冊商網站如godaddy、萬網、易名等,第三方dns解析平臺如dnspod等,第三方cdn加速平臺如百度雲加速也可以實現域名解析的功能)。
上面所說的都是正常情況下的例子。還有兩種是”非正常“情況下,對方也可以擁有在我們網站進行上傳/修改檔案的許可權:
•網站程式有後門漏洞,對方透過漏洞進行了上傳/修改檔案的操作;
•網站引用了其它網站的js,對方透過js程式碼來下載指令碼檔案,然後利用指令碼檔案自動生成或者修改頁面程式碼。
不過,誰會這麼無聊,黑網站就為了獲取站長平臺的驗證呢?
上面列舉了造成問題的原因,那麼我們下面開始研究下怎麼解決這些人神共憤的問題。
不同的原因,我們就要針對性的提出不同的解決方法:
①檢查下網站的ftp賬號、sftp賬號、root賬號、管理員賬號、cms賬號是否被盜(透過檢視賬號登陸日誌來判斷)。最好統一改複雜點的密碼,用自動生成帶演算法的隨機密碼,如使用“花密”工具;
②把cms後臺的線上編輯檔案/模板的功能關閉(普通內容管理cms及部落格系統都可以關閉此功能);
③利用各種網站安全工具進行檢測,如百度站長平臺工具“最佳化與維護”中就有“安全檢測”和“漏洞檢測”兩個功能。當然也可以用站長平臺推薦推薦的安全聯盟(我怎麼可能會跟你說數字也有同樣功能的產品);
④修改域名管理平臺的賬號,加強賬號安全,儘量使用二次驗證登陸,如dnspod的D令牌等。
其實,伺服器安全這塊,小弟我並不懂,知道的也只是九牛之一毛的毛尖而已,大家應該把這個皮球踢給公司的技術大牛們。
同時提醒各位同學,像站長平臺這種比較特殊的網站,賬號密碼一定不要和其它網站一致,還有域名管理和第三方dns解析平臺的賬號密碼。