个人网站如何保证基本安全

Question

作为个人站长如何做安全，最近自己的几个网站老是发现有被黑的痕迹，然后程序被写满了脚本木马，清除起来异常麻烦。
而且一旦没有清除干净，不用过多久就被挂满黑链，每次都要重装cms或者wordpress。

我总结了一下我做的安全措施：

1. 服务器只key登录，禁止密码登录
2. 严格控制目录权限，让上传目录没有执行权限，其他目录做好写的权限。
3. 定期检查新版，国内的几个cms漏洞太多了，被黑他们至少有一半的原因。
4. 管理后台的账号密码尽量随机
5. 不装不必要的插件，wordpress被黑很大原因是插件。

除了上诉措施，大家还做什么安全措施。
谢谢大家！

Answer 1

1. 空间或者主机关闭所有无用端口，启动自动更新补丁（ｗｉｎｄｏｗｓ）
2. 服务器比较iis, tomcat, apache注意及时更新补丁
3. 程序内部的更新代码（insert, update, delete等需要特别处理，防止ｓｑｌ注入攻击等等）
   更多SQL注入工具处理。。。推荐看这篇：http://www.gbtags.com/technology/javautilities/20120411sqlinjectionguide/index.html

Last but not least, 及时备份数据和文件！！！！

Answer 2

对于 wordpress
没事干自己用wpscan先扫扫，把罗列出来的问题，解决了，那么很大程度上，可以减轻你的工作

Answer 3

不要用国内的CMS这个绝对是重点啊...
另外不同的网站隔离运行,也有助防止恶化
安全狗这个对个人站长来说也算是比较好用的工具了,建议尝试一下,win/linux都有,IIS/apache也支持

Answer 4

1、装个安全狗。2、用加速乐这种cdn。3、用安全监测工具扫一扫，把出来的问题修复了。

Answer 5

为每个网站设置单独的数据库账号密码，
限制每个网站的 open_basedir：

fastcgi_param PHP_VALUE open_basedir="$document_root:/tmp";

Answer 6

可以使用IIS7网站监控来对网站的安全情况进行实时检测，来保证网站的安全。
检测网站是否被劫持、域名是否被墙、DNS污染检测、网站打开速度检测、网站是否被黑、被入侵、被改标题、被挂黑等信息。