網站被攻擊的網站主辦單位需引起足夠的重視

關于近期開展企業網站安全普查活動，我相信很多的企業負責人都收到了所在地有關部門下發的關于企業網絡安全責任告知書。原文如下：

“近期，無錫市連續發生多起黑客組織攻擊網站并篡改網頁內容案件，造成一定的現實危害和惡劣的社會影響。根據《中華人民共和國網絡安全法》相關規定，企業作為本單位網絡的所有者、管理者，應積極落實網絡安全主體責任。為切實預防和減少企業網絡安全事件發生，根據無錫市委網信辦統一部署，現決定在全區企業開展網絡安全專項排查工作。重點排查：1、是否存在系統漏洞；2中間件漏洞；3、軟件服務框架漏洞等漏洞。企業一旦發現存在上述漏洞，要及時落實措施，立即整改。堅決防止發生網絡安全案（事）件。請群內所有企業在今明兩天開展排查并填寫《工作回單》（附件1），填寫完蓋好章拍照或者PDF掃描件發到郵箱”

2021年6月22號無錫市互聯網協會和軟件行業協會的年度大會上，無錫市領導發言的時候特別點名了關于本市企業網站安全存在著很多的問題，并責令整改。因此造成的損失，要追究相關的法律責任。

很多的企業負責人，一直抱著僥幸心理，認為我們是小企業小公司，人家干嘛費勁來攻擊我們的網站，可事實上，此次排查的查點對像就是這一類的網站，而且被攻擊最多的也是他們的小公司的網站。

網站被攻擊的主要因素如下：

1、追求低價做網站

認為做網站很便宜，只認價格，價低者得，負責任的建站公司所幸大不了就不合作，但是市場上肯定有愿意低價接活的人存在。這個時候不要以為是占了便宜。關于提到如果低價的網站被攻擊了怎么辦，他回到網站找誰做的，出了問題當然找誰了，仔細看企業才是網站的責任人。從一開始的選擇錯誤就是承擔責任的開始。

2、只看設計不看程序

要知道一個網站被攻擊不是設計被攻擊，而是程序上存在安全漏洞會導致被攻擊。

3、網站服務器

其實網站每年續費也不需要多少錢，偏偏就有公司為了省個幾百塊錢的服務器的費用，認為小公司便宜一點的就夠了，但是自家的大門防盜措施都做的很嚴格，殊不知服務器就是網站的家。網站是公司的在外形象。

在所有的被攻擊的網站當中，一大半以上都是因為選擇了開源的程序框架導致的。要么是因素圖便宜，要么是找了一個黑心的建站公司。

很多的企業做網站的時候一味的追求炫酷，或者一味的追求功能，下載了很多的什么監測軟件，聊天軟件，這些都是第三方的插件，程序里有了這些，就相當于給網站開了一個后門，最終得不嘗失。網站也需要在安全健康的情況下再去追求光鮮和亮麗。所以若非必要，不要隨便在網站里裝什么代碼。

有些企業在做網站之前，花了大量的時間去比較去考慮，其實考慮多的可能就是網站如何設計的漂亮，哪家公司的報價便宜這些吧，我想應該沒有人去花時間考慮網站應該用什么程序做。

很多公司開發的網站，程序代碼亂七八糟，有的甚至是直接從網站扒得皮，還有一個種就是可視化建站，不要覺得可視化建站很高端，實際上之所以能可視化是因為程序里加載了大量的插件。還有些網站的URL路徑很深或者全是動態參數。而且每層路徑除了根目錄和結尾目錄，其它全是空層，這些都是不安全的。

大家可以自查一下，只要是網站后臺的登錄地址是在網址后面加一個類似/admin就能進入后臺登錄界面的，都是不安全的，后臺管理是非常重要的，可以任意修改網站內容，這個后臺登錄的路徑是可以隨便就掃描出來的，而且賬號密碼無非就是字母和數字的組合，直接可以暴力破解的。建議采用手機短信或微信掃碼登錄。

平時也會碰到很多的客戶，認為為了安全考慮，需要建站公司提供全部的源文件，包括前臺、后臺和數據庫，其實這種是很不全安的，所有網站前臺后源文件放一起的，全部能交付的，要么就買授權，這樣成本會高，幾百或幾千塊錢就能買到全部源碼的，可以肯定就是開源的程序，或者說直接是網上免費下載的那種。為什么能免費下載如DEDECMS，大家可以想像得到。

同樣很多的企業認為域名掌握在自己手里就是安全的，對建站公司不放心，這也可以理解，但是一定要選擇好的域名服務商，同時也要定期查看一下域名的解析記錄和DNS記錄，不要認為域名解析好了就完事了，事實上，很多的攻擊不是攻擊網站的本身，而是域名的DNS遭到劫持。