网站相关账号信息要严密

另外，在网站维护过程中，网站的账号信息一定不能掉以轻心。现在很多网站，不管是会员中心的用户登录还是管理员的账号登录，往往都没有做好账号的安全。比如，很多网站的会员注册，连账号和密码的位数都没有进行校验，验证码这种基本的防重复注册的措施都没有做，这种账号很容易就可以被破解出来，而且随便写个注册程序就可以大批量注册用户，网站没有任何的安全性可言。

还有，比较重要的网站后台登录入口，建议不能把链接暴露在互联网当中，不要在网站的相关页面上放置管理后台的链接，同时要放置搜索引擎的爬虫抓取到后台管理的登录链接(可采用robots文件进行设置)。还有个比较重要的事项，也是很多网站现在都没有做到的地方，就是在网站的登录入口，用户名和密码都是用明文传输，这种简单的http传输很容易被截取，所以有条件的网站可以在账号的登录入口使用https进行加密。

网站文件上传要谨慎

在网站建成后的维护过程中，有的站长朋友会通过ftp或ssh等工具连接到网站服务器的文件目录，把修改后的源码文件进行上传。这里，网站的相关文件上传也是很容易出现问题的地方，有一些程序员在修改代码的时候，往往会新增一些新的文件，最容易出现问题的就是js文件。因为js文件一旦嵌入到网页中就会直接允许，如果这些js没有经过认真检查，可能当中会包含一些危险的代码，比如在网页允许js的时候，把服务器上的信息删除或者数据传输到远程主机，这就会给网站带来巨大的损失。所以，在进行网站相关文件的上传时，一定要事项检查文件的安全性，对类似js、可执行文件exe、可执行脚本.sh等必须加以检查，防止恶意文件上传到网站的服务器目录。

设置相关的访问记录功能

网站的访问日志，可以在服务器和网站的后台查看，其中服务器的日志可以在WEB服务器相关日志文件中查看，如apache、tomcat等;建议在网站的后台设置相关的访问记录功能，以便于在网站出现安全问题的时候可以更近快速排查到原因，例如，可以在网站的后台记录用户访问的IP来源、访问次数、停留时间、访问的页面等。

使用开源建站系统需谨慎，网站建成之后还需要加强安全防范，在日常工作中做好网站的安全维护预防，对于每个用户来说，这是需要时刻谨记的