网站后台,有时也称为网站管理后台,是指用于管理网站前台的一系列操作,如:产品、企业信息的增加、更新、删除等。通过网站管理后台,可以有效的管理网站供浏览者查阅的信息。网站的后台通常需要帐号及密码等信息的登陆验证,登陆信息正确则验证而后进入网站后台管理界面进行相关的一系列操作。
对于许多网站主而言,网站的安全维护一直是网站管理后台最为核心的工作;但由于网站安全更多体现在网站服务器空间以及技术功能的稳定性,所以一般网站主会认为网站安全维护更多是技术员工所要考虑的问题,但其实网站安全是一个综合性工作,而现实生活中,网站主最容易忽视的公司网站管理后台的安全问题。
为什么网站中毒了?是出什么问题了?
实际上,前后台系统的实时性比预计的要差。这是因为前后台系统认为所有的任务具有相同的优先级别,即是平等的,而且任务的执行又是通过FIFO队列排队,因而对那些实时性要求高的任务不可能立刻得到处理。另外,由于前台程序是一个无限循环的结构,一旦在这个循环体中正在处理的任务崩溃,使得整个任务队列中的其他任务得不到机会被处理,从而造成整个系统的崩溃。由于这类系统结构简单,几乎不需要RAM/ROM的额外开销,因而在简单的嵌入式应用被广泛使用。
现在的网站大多数都是静态生成的,一般来说,只要我们做好网站管理后台的安全,是不会出太大的问题。因此容易后台的安全问题也不容忽视。
要做好网站管理后台的安全,得做好以下几点
1、管理成员是否有权限的划分
一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果。
2、网站管理后台用户名和密码是否是明文保存的?
建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。
3、网站管理后台页面是否使用了metarobots协议限制搜索引擎抓取
谷歌工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots.txt,参照第4点。
4、网站管理后台入口是否隐秘
不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。
5、是否有管理日志功能
管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。
6、是否有自定义sql语句执行功能
同第7点。
7、access是否有自定义数据库备份功能
这是asp+access系统中最臭名昭着的功能,自定义数据库备份可以让入侵者轻松获得webshell 。
8、管理页面是否做了防注入
粗心的程序员往往只考虑了前台页面的注入。
9、编辑器的漏洞是否清除,是否已经去除了无意义的功能。
最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等。
10、是否直接显示用户提交的数据
任何时候,用户的输入都是不可信的,设想如果对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?
11、是否开启了在线修改模板功能
如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。
给网站建设及管理运营的朋友提几个网站管理后台建议:
第一是自定义修改初始化密码,网站管理系统的提供商所提供给你的初始账号及密码一定要进行适当的修改,因为初始化密码一般都过于简单,容易被人破解,一旦破解,就等于你的网站管理后台开放出来任人进出;
第二是增加网站管理后台权限,网站后台管理账号不避免地会让一些除了网站管理员的其他人士知道,但网站管理员对初级操作者给予适当的权限设置,避免因为初级操作者的错误操作导致网站管理后台出现问题,也可以防止网站管理后台遭受恶意修改;
总而言之,对于网站管理后台的安全问题,任何一个环节的疏忽都可能导致灾难性的后果,网站安全,任重道远,大家须时时注意。网站主要像对待保险柜一样对待你的网站管理后台,这样才能免于不必要的网站安全漏洞问题,保证网站的安全稳定。