网站安全防护：记与黑客展开web攻防的三天！

随着霸屏效果的慢慢提升，网站流量的稳步提高，客户的一个官网也随之被黑客顶上，很不幸的是网站程序比较老旧，漏洞较多，黑客很容易就拿到了网站的webshell。随之而来的就是在服务器植入了木马，使网站跳转到了博////彩网站。

发现后第一时间进行了应急处理：

1、网站所有目录权限设置为555只读模式。

2、对服务器进行安全软件的安装。（因为网站文件较多，目录较多，查找木马文件比较费时，所以安装了安全软件来进行扫描查杀）。

3、删除掉近10个分散在网站各个角落的木马。

网站恢复，结果没过两小时，首页又被黑客篡改，好家伙，能力可以。

于是对首页文件index.html和index.php设置双重权限，禁止修改，禁止删除。

本以为会相安无事，结果第二天首页又被篡改。并且发现配置文件common.inc.php权限被修改为777游客都可以进行写入和执行。

于是下一步开始对网站所有有漏洞的文件进行修复：

dedesql.class.php变量覆盖漏洞

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

/include/payment/alipay.php 支付模块漏洞

dedecms SESSION变量覆盖导致SQL注入

WEB服务器启用了OPTIONS方法

/member/article_add.php SQL漏洞

dedecms album_add.php SQL注入漏洞

SQL注入漏洞soft_add.php修复

等数十个漏洞进行紧急修复，本以为这次会没事，结果我还是低估了BC公司的财力以及实力。

怎么办呢？  这问题困扰了我两天。

既然这样做不行，可不可以对网站前后端进行分开管理？想到这个思路，马上开始实行。

首先网站sql数据库是不变的，建立两个网站，common.inc.php配置文件链接到一个数据库，一个网站做本地使用，不对外网公开，一个做前端使用。本地这个对后端进行维护，因为两个网站链接的是一个数据库，所以达到了同步的效果。前端网站只保留文档生成功能。OK，大功告成。

理论上，这样做，可以做到一劳永逸，再也不用担心黑客入侵了。