两天前,笔者的博客被挂黑链,全站上下上千个文件都挂上了伯才类网站的链接。万事有弊必有利,博客经过这件事也让我收获了不少,一直以来我都觉得网站被入侵是件很神奇的事情,在此之前我倒是挺期待发生的。对网站的安全也不怎么上心,这次被挂黑链整整花了我两天的时间去修复,但是让我实在不解的,迷糊每天的流量并不多,博客本身也没有权重,而且挂上去的链接都是明链,难道对方没看出来我的博客是每天一更新的吗?这样挂上去的链接会被立马删除,这样又有什么意义呢?最后得出结论,对方应该是“新手”,拿我博客“练手”呢!
都说dedecms这套程序的漏洞极多,难道当初放弃wordpress而选择dedecms是错误的?其实不然,网站程序安全因人而异,什么程序都有漏洞,再高的网站安全防御也还有更强大的入侵手法,或许dedecms程序漏洞是比较多,但是这次被黑主要是因为我平时太懒,没关心网站安全问题,dedecms官网发布的补丁没有及时更新,以至于两个月前的补丁我到昨天才更新,粗略的查看了一下网站被黑的漏洞所在,如果没错的话应该是dedecms变量注入引发二次利用SQL注入漏洞 ,而这已经是一个多月前dedecms官网就已经发布过补丁了,一个多月以后网站才出问题,这已经是侥幸了。
塞翁失马焉知非福,此次收获颇丰
一,我成了真正意义上的站长
都说没经历过网站降权和网站被黑的站长不是真正的站长,我想前者我曾经经历过了,再加上后者的发生,我顺利升级为站长一族(还有没经历挂科的大学是不完整的,而我也实现了,嘻嘻!) 二,认识到黑客不过如此 一直以为黑客多么恐怖,其实仔细想想对方不也是和我们一样的人嘛,没准还是个帅小伙或者靓妹子,只是他们居然能做出这种伤害心灵的事情着实让人不解,而这次事件也让我能更加冷静的处理网站突发事件,认识到黑客并不可怕(这次只是被挂黑链,要是遇到挂马或者删除程序的话,我肯定是应对不了的),其实以后倒是可以淡定了,因为大黑客(相对而言哈)根本防不住,能防住一般的黑客就够了,因为他们攻击网站总是不需要理由,这点让站长很是蛋疼。
三,帮助养成备份网站习惯
说实话,我博客建立到现在只备份过一次,已经是一个月前的事情,这次要是采取备份覆盖的方式来修复网站,也就意味着我一个多月的努力白费,百度那边也肯定会被“关禁闭”的,这次之后我自己做了一个网站备份计划(包括数据库),十天一次,到时候真的出了事,直接拿备份出来覆盖还原,损失倒还不算大。
四,精简了网站内容
有人说最安全的网站就是在本地生成静态文件然后上传,空间上尽量少留动态文件,这个方法可行但是没必要去做,这样感觉太“窝囊”了,凡事尽力就好嘛!在网上搜索了dedecms网站如何增强安全等级,也看到了很多前辈的被黑经历,觉得这其实是站长成长道路上必经之事,于此同时,我将自己网站从内到外都精简了一遍,能删除的就尽量删除,因为说不定漏洞在哪个文件中,精简文件可以大大的降低网站安全事故发生的概率,因为有的文件虽然站长自己用不到,但确实黑客的最爱,也正是那些文件帮了黑客的大忙。
五,终于知道如何设置密码了
说到这不得不提那天告诉我博客被挂黑链的朋友,他在博客里给我留言提醒后还找到了我的QQ,当他通过QQ告诉我网站被挂黑链一事我还是一头雾水,因为我几个小时前更新的博文,那时候博客还是正常的,而当我听完查看博客之时,博客已经内外被挂不成人形。也是他告诉我网站密码应该要设置的足够复杂,即使挡不住入侵,也能增加其难度,最后我选择密码由百度决定:密码随机生成器,并且自己也计划半个月更换一次网站后台登陆账号和密码。
六,获得的一篇好的博文素材
博客被黑,这事怎么都得写篇文章纪念一下,OK,你不需要再去额外找文章的素材了(其实迷糊博客每片文章都是认真写的,只希望读者能够喜欢,每天去网上找素材是我必备的工作,因为我不像卢松松那样的名博见识的多,但我知道见识是可以长的,迷糊博客的文章也会越写越好,期待大家关注!),而且计划将这篇文章投稿出去,倘若投稿成功,没准这篇文章能为我博客带来不少的好处(读者与外链)。