網站作為一種基于Web的應用程序，通常會比其他C/S結構的軟件更容易面臨安全性問題。特別是對于應用在金融、電信等領域的網站系統(tǒng)而言，其安全性便成為了系統(tǒng)至關重要的方面，稍微安全性問題，就會造成重大的經濟災難。從網絡安全理論上來講，只要給予足夠的時間和資源，任何系統(tǒng)都可以被侵入。因此，我們不能忽略網站的安全性問題。很多站長朋友們都有自己的網站服務器，那么網站服務器有哪些安全性需要我們關注的呢?通常情況下，網站服務器的安全性設置主要包括目錄安全性、SSL套接字、用戶登錄驗證、日志文件和腳本語言安全性設置等，具體如下：

　　首先，網站服務器的目錄安全性設置。Web的目錄安全性是不容忽視的。對于Web服務器而言，首先需要設置安全的目錄，每個目錄下應該有index.html或default.html頁面，從而可以保護該目錄下的內容安全。如果Web程序或Web服務器的處理不適當，通過URL替換和目錄名推測，就會將整個目錄暴露給外部用戶。這個時候，我們就應該嚴格設置Web服務器的目錄訪問權限，以降低目錄安全隱患。

　　其次，SSL安全性設置。通常默認情況下，HTTP協議是沒有經過任何加密措施的，所有的消息全部都是以明文的形式在網絡上進行傳輸。這時，外部惡意的攻擊者就可以通過安裝監(jiān)聽程序來獲得用戶和服務器之間的通信內容。但如果Web服務器建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，只能輸入https://,而不能使用http://進行訪問。使用SSL安全機制時，客戶端隨機生成會話密匙，用從服務器得到的公共密匙對話密匙進行加密，并把會話密匙在網絡上傳遞給服務器，而會話密匙只有在服務器端用私人密鑰才能進行解密，這樣，客戶端和服務器端就可以建立一個唯一的安全通道。使用SSL安全設置保障了客戶端和服務器之間的數據傳輸安全。

　　接著，網站登錄安全性驗證。目前網站基本上是采用先注冊、后登錄的方式。因此，需要驗證系統(tǒng)阻止非法的用戶名和密碼進行登錄，實現有效安全登錄。比如，用戶登錄的登錄次數是否有限制;是否限制從某些IP地址的用戶登錄;密碼設置是否有規(guī)則限制;是否可以不登錄而直接瀏覽某些網頁。

　　此外，網站服務器需要對網站操作日志文件進行有效存儲。日志文件至關重要，我們需要關注相關的重要信息是否寫進了日志文件、出現故障后是否可以追蹤故障來源。網站正式上線后，需要對Web服務器運行和訪問的日志及流量進行日常監(jiān)控，這就需要網站服務器有相應的功能進行日志管理。比如，日志文件中是否記錄了用戶訪問的IP地址，是否記錄了訪問用戶的用戶名;日志文件中是否記錄了所有的事務處理信息，是否記錄失敗的注冊企圖，特別是涉及到資金安全的，比如是否記錄被盜信用卡的使用等等。

　　最后，網站服務器腳本運行安全性設置。每種腳本語言的運行效果都不同，有些腳本語言允許訪問服務器的根目錄，有些則不能運行在服務器根目錄，有的只允許訪問郵件服務器，但不管是什么腳本，對于有些經驗豐富的黑客就可以通過各種手段將服務器用戶名和口令發(fā)送給他們自己，這個時候，他們就找出站點使用了哪些腳本語言，并研究這些語言的缺陷和漏洞，對服務器進行攻擊和篡改。之前，本人曾多次發(fā)現有很多朋友的網站被掛上了一段VB或JS腳本，當用戶登錄網站的會員后臺，這些腳本就會自動運行，把用戶名和密碼盜取，從而導致大量用戶賬號被盜。所以，我們必須服務器端腳本運行的權限，防止惡意的腳本攻擊。