網站被黑情況(算法自2018年3月上線)
為了保證搜索生態安全,保障用戶權益,百度搜索發布《網站被黑操作指南》,引導站點排查被黑情況。
網站被黑,通常表現為網站中出現大量非本網站發布的類似博彩內容,或網站頁面直接跳轉到博彩頁面。
1、內容非網站發布,內容中含大量博彩網站指向;
2、網站頁面直接跳轉到博彩網站;
3、網站被黑表明網站安全存在嚴重問題或漏洞。
注:確認網站被黑之后,站長應該迅速采取手段修復。
加強網站安全
1.多種安全防護同步進行:適合中小型資訊網站
網站程序勤打補丁:現在很多資訊類網站用的系統使用了內容管理系統(CMS),作為比較常見的內容管理系統(CMS),有一個問題,那就是漏洞比較大眾化,因為源碼是公開的,所以很容易被研究出漏洞,需要對網站程序及時進行漏洞修復。
2.對服務器進行常規的安全防護
(1)在上班時間之外,對服務器上的網站權限做設置,禁止文件修改,后臺文件隱藏或遷移到根目錄之外。
(2)參考一些網站的安全設置,非限定的IP不能寫入到數據庫。
3.不使用開源程序默認的robots文件
下圖是一個地級市的資訊類站點的robots文件,從robots文件中可以看出,該網站用的是織夢后臺,那黑客就可以通過各種針對織夢攻擊的軟件進行操作,也可以針對織夢網站的常見漏洞進行掃描和針對性攻擊。
4.進行HTTPS改造,強化網站安全
HTTPS主要由有兩部分組成:HTTP+ SSL / TLS,也就是在HTTP上又加了一層處理加密信息的模塊。
服務端和客戶端的信息傳輸都會通過TLS進行加密,所以傳輸的數據都是加密后的數據。
HTTS復雜的加密機制有效的加大了網站的安全性,加密機制與認證機制可以減少網站被劫持和假冒的風險,建議站長們可以通過做HTTPS改造來強化網站安全。
除了要推動技術人員快速修正外,還做哪些善后和預防工作?
1.清理已發現的被黑內容,將被黑頁面設置為 404 死鏈,并通過百度搜索資源平臺的死鏈提交工具進行提交(我們發現有些站點采用了將被黑頁面跳轉至首頁的做法,非常不可取);
2.網站如有變更頁面,建議使用鏈接提交工具向百度提交變更頁面數據;
3.立即停止網站服務,避免用戶繼續受影響以及影響其他站點;
4.排查出可能的被黑時間,和服務器上的文件修改時間相比對,處理掉黑客上傳、修改過的文件;除此之外,技術人員還需要檢查服務器中的用戶管理設置,確認是否存在異常的變化;
注:可以從訪問日志中,確定可能的被黑時間。不過黑客可能也修改服務器的訪問日志;
5.更改服務器的用戶訪問密碼;
6.做好安全工作,排查網站存在的漏洞,防止再次被黑。
網站無須三方授權 · 安全穩定、維護方便