谈起网站这个问题，真的有点非常感受，做网站建造的站长朋友，只需网站有流量的，有发展潜力的。网站多多少少都遇过网站安全的问题，诸如虚拟主机拜访推迟、服务器被侵略、网站被黑客挂马等等的网站安全问题。这次我以网站安全问题为话题，谈一谈网站建造中需求留意的网站安全。

现在，黑客进犯网站已成为一个严重的网络网站安全问题。许多黑客甚至可以打破SSL加密和各种防火墙，攻入Web网站的内部，窃取信息。黑客可以仅凭仗浏览器和几个技巧，即套取Web网站的客户信用卡材料和其它保密信息。严重威胁着网站安全。

随着防火墙和补丁办理已逐渐走向规范化，各类网络设施应该是比以往更好。但不幸的是，道高一尺，魔高一丈，黑客们已开端直接在应用层面临Web网站下手。要增强Web网站的安全性，首先要弄清关于网站安全的五个误解。

一、网站安全的误区之“Web网站运用了SSL加密，所以安全”

网站建造单靠SSL加密无法保障网站的安全。网站启用SSL加密后，表明该网站发送和接收的信息都经过了加密处理，可是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密，但仍是被黑客攻破。此外，SSL也无法维护网站拜访者的隐私信息。这些隐私信息直接存在网站服务器里边，这是SSL所无法维护的。

二、网站安全的误区之“Web网站运用了防火墙，所以安全”

防火墙有拜访过滤机制，但仍是无法应对许多歹意行为。许多网上商店、拍卖网站和BBS都安装了防火墙，但仍然脆弱。防火墙通过设置“访客名单”，可以把歹意拜访扫除在外，只允许好心的拜访者进来。可是，如何鉴别好心拜访和歹意拜访是一个问题。拜访一旦被允许，后续的安全问题不是防火墙能应对了。

三、网站安全的误区之“缝隙扫描东西没发现问题，所以安全”

自1990年代初以来，缝隙扫描东西已经被广泛运用，以查找一些显着的网络安全缝隙。可是，这种东西无法对网站应用程序进行检测，无法查找程序中的缝隙。 缝隙扫描东西生成一些特别的拜访请求，发送给Web网站，在获取网站的呼应信息后进行剖析。该东西将呼应信息与一些缝隙进行比照，一旦发现可疑之处即报出安全缝隙。现在，新版本的缝隙扫描东西一般能发现网站90%以上的常见安全问题，但这种东西对网站应用程序也有许多力不从心的当地。

四、网站安全的误区之“网站应用程序的安全问题是程序员造成的”

程序员的确造成了一些问题，但有些问题程序员无法掌控。

比如说，应用程序的源代码可能从其它当地获得，这是公司内部程序开发人员所不能控制的。或许，公司可能会请一些离岸的开发商作一些定制开发，与原有程序整合，这其间也可能会呈现问题。或许，一些程序员会拿来一些免费代码做修正，这也隐藏着安全问题。再举一个比如，可能有两个程序员来共同开发一个程序项目，他们别离开发的代码都没问题，安全性好，但整合在一起则可能呈现安全缝隙。

现实地讲，软件总是有缝隙的，这种事每天都在发生。安全缝隙只是很多缝隙中的一种。加强员工的培训，的确可以在必定程度上改进代码的质量。但需求留意，人都会犯错误，缝隙无可避免。有些缝隙可能要经过许多年后才会被发现。

五、网站安全的误区之“咱们每年会对Web网站进行安全评价，所以安全”

一般来说，网站应用程序的代码变动快。对Web网站进行一年一度的安全评价比较必要，但评价时的状况可能与当前状况有很大不同。网站应用程序只需有改动，都会呈现安全问题的危险。