网站安全一点也不容忽视，全球每天都有数万网站被入侵，而且每年数量都在增加。网站虽然不能做到100%的安全，但我们可以做到尽量的减少网站被入侵的风险。保障网站安全分两部分，服务器安全和网站程序安全。我们该如何维护网站程序安全呢？

作为一个称职的建站仿站公司，做一个网站最起码要保证它的安全，使其不受外部攻击。

一、文件上传安全处理

每个网站都有后台，用来更新网站内容，后台HTML编辑器一般都带有文件上传功能，有的网站还可以单独上传文件，凡使用上传功能的地方，一定要禁止上传ASP/PHP/JS/NET等脚本执行文件。

二、网站目录保护

主要用于限制指定目录的脚本执行权限。通常对允许用户上传文件的目录设置为可写权限，同时用目录保护取消该目录的脚本执行权限，以防止黑客上传病毒木马。通常用户网站被黑（如网页被篡改，文件被盗，被删等）都是因为黑客通过网站的文件上传功能将asp/php木马上传到空间并运行造成的。所以在无法确认系统是否存在上传漏洞的情况下，只要保证文件上传目录没有脚本运行权限，那么即便黑客将木马上传到您的空间他也无法运行，这样就无法危及您的网站，使您网站更安全，设置后的目录不能运行脚本程序。

三、网站后台管理账号

网站后台管理账号的登录用户名和密码尽量复杂些，如果是多人一起管理后台，每人使用一个账号，每个账号分配相应的权限。如果管理人员离职，及时更换密码。

四、网站尽量少开放用户提交数据权限

网站因为业务需要，有留言，评论等功能，尽量让用户只能提交一些简单数据。如文字，图片。使用简单的编辑器就好。提交的文字信息替换非法字符，图片信息规范图片类型。

五、关闭FTP

如果网站不是经常需要用到FTP功能，将FTP功能关闭，需要的时候再打开。

六、禁止在网址中输入非法参数

禁止访客在网址输入非法参数，在服务器端接收过来的参数，过滤掉非法字符。以免黑客通过网址注入，从而显露出网站数据库及其他重要信息。

七、使用HTTPS访问安装SSL证书

• 认证用户和服务器，确保数据发送到正确的客户机和服务器；
• 加密数据以防止数据中途被窃取；
• 维护数据的完整性，确保数据在传输过程中不被改变。

八、网站页面地址静态化处理

网站页面生成静态HTML页面或使用伪静态。

九、数据定期备份

数据库定期备份，建议每周进行备份，网站程序每次修改前进行一次备份。

十、不使用来历不明的程序或插件

现在网上有很多免费的开源程序和功能插件，有的程序是被人修改过的，可能留有后门。如果是使用正规的开源程序，需要及时更新版本。