上周一个VIP讲堂同学微信群的同学问:“我的二级域名怎么用一个我不知道的ID验证?”关于这种情况,学院想说:一是注意网站上各种账号的安全,使用复杂的密码;第二,保证网站后台权限可控;第三,经常使用安全工具检测漏洞;第四,利用平台提供的子域批量验证功能,批量验证所有子域。下面推荐一下52PK的产品负责人孙二坤的分享文章。
近日,学院微信群正在讨论其网站域名被其他账号验证的问题。如果你在重新验证自己后被别人验证了,你要小心。我脸皮比较厚,在这里说说我的看法。我们先来看网站的三种认证方式:
根据站长平台列出的可以验证网站域名的方式,我们可以大致分析出会导致“你的网站域名被他人验证”的三种情况:
对方有权上传验证文件;
对方可以修改我们网站的首页代码;
对方可以修改我们的域名解析。
好的,首先我们需要知道一个事实:百度站长平台的认证机制是“抢注”。什么是“抢注”:只要你有网站权限(上传文件或修改网站首页代码的权限),就可以做一些操作来验证网站。
然后我们进一步分析。
Q:对方如何有权在自己的服务器/云主机/虚拟空间上传/修改文件?
回答:不管是个人站还是公司站,一般对方都有对应的账号:ftp、sftp、root(windows server是管理员账号)。此外,有些cms还具有上传文件或修改页面代码的功能。只要有这些账号,对方就可以实现“文件验证”或者“html标签验证”。
问:对方如何修改我们的域名解析?
回答:这个简单。对方只需要知道我们域名解析平台的账号(域名注册网站如godaddy,王湾,改名等。第三方dns解析平台如dnspod等。以及百度云加速等第三方cdn加速平台也可以实现域名解析的功能)。
以上都是正常情况下的例子。还有两种“异常”情况,对方也可以有权上传/修改我们网站上的文件:
网站程序有后门漏洞,对方通过该漏洞上传/修改了文件;
网站是指其他网站的js,对方通过js代码下载脚本文件,然后使用脚本文件自动生成或修改页面代码。
然而谁会这么无聊,黑网站只是为了得到站长平台的验证?
问题的原因上面已经列出来了,那我们就开始研究如何解决这些共愤的问题吧。
由于不同的原因,我们不得不提出不同的解决方案:
①检查网站的ftp账号、sftp账号、root账号、管理员账号、cms账号是否被盗(看账号登录日志判断)。最好是统一更改复杂点的密码,用算法自动生成随机密码,比如使用“花密”工具;
②在cms后台关闭在线编辑文件/模板的功能(无论是cms还是博客系统都可以关闭此功能);
③使用各种网站安全工具进行检测。比如百度站长平台工具“优化维护”就有“安全检测”和“漏洞检测”两个功能。当然,你也可以利用站长平台推荐推荐的安全联盟(怎么告诉你数字也有同样的功能产品);
④修改域名管理平台的账号,加强账号的安全性,尽量使用二次认证登录,比如dnspod的D令牌。
其实我不懂服务器安全,但我知道的只是皮毛。每个人都应该把这个球踢给公司的技术公牛。
同时提醒各位同学,站长平台这种特殊网站的账号密码一定不能和其他网站一致,域名管理和第三方dns解析平台的账号密码也不能一致。
59
59
59
59
59
59
59
59
59
59