網站的防範除了從技術上要制定一些措施，如經常對

Web

伺服器軟體升級、安裝相應的安全補丁外，還要注意以下問題：

（1）

天天關注你負責的網站。把你管理的網站設為瀏覽器的首頁，每天至少看一次你所管理的網站，尤其是節假日，因為節假日恰恰是攻擊的高發時段。

（2）

定期備份資料庫和可供下載的文件。網站如果不是經常更新，訪問量不大，大概每週備份一次，反之每天一次。特別是要經常對外發布訊息，提供資料下載的網站，更要做好這方面的工作。

（3）

密碼要健壯。後臺管理的賬號密碼與管理員個人的常用不同，以防他人從別處得到網站的密碼。如果有多個管理員，要保證所有人的密碼都是健壯的。

（4）

網站改版後，如需要保留舊版，要記得刪除舊版的後臺。如果改版，應及時刪除舊版的後臺管理，特別是上傳板塊。同時注意清理放到網站上的檔案，不要把包含敏感資訊的文件放到網站空間裡。很多人以為在網頁上看不到的文件就是安全的，其實不安全。

（5）

檔案時間一致原則。簡單地說就是保持大部分檔案地上傳時間一致（資料庫之類讀寫的檔案除外）。具體做法是一次上傳所有的檔案，就算修改了一個檔案也建議重新上傳所有網頁，這樣做主要是方便查詢木馬。

（6）

要把資料庫副檔名更名為

。asa

，實驗證明，副檔名改成

。sap

是沒用的，還是可以下載，而且可能被暗藏

ASP

木馬在資料庫中。要備份資料庫，直接以

FTP

格式下載就可以。

（7）

給使用者儘可能少的功能和許可權，功能越複雜可能出現的漏洞越多，除非你對直接的技術很有資訊，否則請謹慎向用戶開放上傳等容易受到攻擊的功能。

（8）

出錯資訊越模糊越好，這裡的出錯資訊包括程式的錯誤資訊和對攻擊行為的提示資訊。程式的錯誤資訊可能暴漏資料庫的型別、位置，也可能為注入提供方便。