当前位置：首页 > wzjs >正文

网站开发实战教程wordpress 优惠插件

wzjs 2025/9/16 9:58:53

网站开发实战教程,wordpress 优惠插件,WordPress首页站内搜索,pc网站平台系统账号管理不规范由于root权限为系统最高权限，可以对系统进行所有管理配置操作，一旦被攻击者获取利用，将严重威胁网站的安全性。建议禁用roo直接登录，开放普通用户登录，通过普通用户登录再su进行系统管理 adduser …

系统账号管理不规范
由于root权限为系统最高权限，可以对系统进行所有管理配置操作，一旦被攻击者获取利用，将严重威胁网站的安全性。建议禁用roo直接登录，开放普通用户登录，通过普通用户登录再su进行系统管理

adduser admin  (添加用户)passwd  admin （设置密码）vim /etc/sudoers ## Allow root to run any commands anywhereroot  ALL=(ALL)   ALLadmin  ALL=(ALL)   ALL# 注意： 这个文件只读是一种保护机制，所以保存时得使用: wq!
vim /etc/ssh/sshd_config修改 PermitRootLogin 为  no
service sshd restart

系统日志保存不达标
远程登录服务器主机，查看系统日志保存配置文件，发现日志保存为每周，保存周期为一个月，不符合《网络安全法》、《网络安全等级保护管理条例》规定日志应保存不少于6个月

vim /etc/logrotate.conf# keep 4 weeks worth of backlogsrotate 4 改为 rotate 12 //最多转储12次将/var/log/wtmp{...rotate 1 中的1改为3}
service syslog restart //重启syslog进程

存储型跨站脚本攻击漏洞（高危）
跨站脚本攻击，XSS又叫CSS (Cross Site Script)。XSS属于被动式的攻击，它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。攻击者经常利用跨站脚本攻击的方式进行网络钓鱼行为。或诱骗用户点击含有跨站脚本攻击的连接，从而获取用户的COOKIE等信息，绕过用户身份认证，直接进入用户登录页面。
解决方式：

客户端：
a). 禁止输入、提交<、>、script、/、(、)、”等特殊字符。
b). 明确各个输入框可以接受的字符类型和长度。
服务器端：
对接收的内容数据进行编码（如HTMLEncode、htmlspecialchars），显示内容的原始字符串，禁止其以HTML、Javascript等脚本语言方法解释执行。