网站是黑客最喜欢的入侵目标,不仅可以植入恶意代码劫持流量获利,还可以进一步入侵服务器,进行勒索或植入挖矿病毒。同时几乎每个网站都有自己的管理后台,后台拥有许多强大的功能,以方便管理员在线管理网站。如果不法分子窃取了后台管理权限,那带来的危害就不言而喻了,因此做好后台安全防护是非常必要的事情。
很多开发人员都会通过身份验证机制,阻止未授权用户访问。这一套机制本身很不错,不过在实际应用过程中仍然存在一些隐患。比如黑客可以采用撞库或者暴力破解方式破解后台管理账户和密码。或者通过XSS跨站入侵直接窃取管理员身份信息。或者因开发人员疏忽,导致某些文件未做身份验证。种种原因都可能导致后台被轻松突破。因此要做好后台安全防护,除了网站程序层面的身份验证机制,我们还应该使用第三方手段,强化后台身份验证,不给黑客可乘之机。
那么如何有效保护后台呢?
可以使用《护卫神.防入侵系统》的“网站后台保护”模块,给后台加一把锁,或是限定只有指定城市才能访问(如下图一)。该系统防护机制不和网站程序挂钩,是完全独立的防护模块,并且可以对后台下的所有文件(包括图片、html、js等静态文件)都进行保护。
(图一:网站后台保护)
如上图所示,当用户访问后台(/admin/)时,如果用户IP属于成都市,可以直接访问。用户不在成都市范围,则会要求输入授权密码(如下图二),只有输入了正确的密码才能访问后台,然后再进行程序自身的身份验证。
(图二:不在成都市范围,要求密码验证)
输入正确的授权密码后,才能看到后台登录页面(如下图三)
(图三:后台登录验证)
通过上述一步操作,网站后台的安全问性就能提升了许多倍。以城市为授权单位也没啥安全隐患,因为黑客一般都使用国外主机发起攻击,防止被溯源。同时黑客和你同所城市的几率非常非常小。怎么样,简单吧?如果你也有此需要,赶紧部署吧!
