”怎么我的二級域名被不認(rèn)識的ID驗證了?”

　　站長學(xué)院在此鄭重提醒廣大網(wǎng)站管理者：

　　一，注意網(wǎng)站各種帳號的安全，使用復(fù)雜密碼；

　　二，保證網(wǎng)站后臺權(quán)限可控；

　　三，經(jīng)常使用安全工具進行漏洞檢測；

　　四，使用平臺提供的批量驗證子域功能，批量驗證所有子域。

　　下面給各位同學(xué)推薦52PK產(chǎn)品負(fù)責(zé)人孫二坤的分享文章：

　　最近很多朋友在討論自己網(wǎng)站域名被其它賬號驗證的問題。如果說在自己重新驗證后，又被別人驗證了，那你就要小心了。鄙人臉厚，就在這里說說我的看法。咱們先看下網(wǎng)站的三種驗證方式條件：

　　根據(jù)站長平臺列舉的可以驗證網(wǎng)站域名的方式，對于前述問題，我們大概的可以初步分析出有三種情況會造成“自己的網(wǎng)站域名被別人驗證”：

• 　　對方有上傳驗證文件的權(quán)限；

• 　　對方可以修改我們的網(wǎng)站首頁代碼；

• 　　對方可以修改我們的域名解析。

　　OK，首先我們要知道一個事實：百度站長平臺的驗證機制是“搶注式”。什么是”搶注式“：只要有網(wǎng)站權(quán)限（上傳文件或者修改網(wǎng)站首頁代碼的權(quán)限），就能進行一些操作來驗證網(wǎng)站。

　　然后我們進一步分析。

　　問：對方如何擁有在自己的服務(wù)器/云主機/虛擬空間上面上傳/修改文件的權(quán)限呢？

　　答：不管是個人站還是公司站，一般情況下都是對方有對應(yīng)的賬號：ftp、sftp、root（windows服務(wù)器則是管理員賬號）。另外，部分cms也有上傳文件或者修改頁面代碼的功能。只要有這些賬號，對方就可以實現(xiàn)“文件驗證”或者“html標(biāo)簽驗證”。

　　問：那對方怎么能修改我們的域名解析呢？

　　答：這個就簡單了，對方只要知道我們的域名解析平臺的賬號就可以了（域名注冊商網(wǎng)站如godaddy、萬網(wǎng)、易名等，第三方dns解析平臺如dnspod等，第三方cdn加速平臺如百度云加速也可以實現(xiàn)域名解析的功能）。

　　上面所說的都是正常情況下的例子。還有兩種是”非正常“情況下，對方也可以擁有在我們網(wǎng)站進行上傳/修改文件的權(quán)限：

• 　　網(wǎng)站程序有后門漏洞，對方通過漏洞進行了上傳/修改文件的操作；

• 　　網(wǎng)站引用了其它網(wǎng)站的js，對方通過js代碼來下載腳本文件，然后利用腳本文件自動生成或者修改頁面代碼。

　　不過，誰會這么無聊，黑網(wǎng)站就為了獲取站長平臺的驗證呢？

　　上面列舉了造成問題的原因，那么我們下面開始研究下怎么解決這些問題。

　　不同的原因，我們就要針對性的提出不同的解決方法：

　　1、檢查下網(wǎng)站的ftp賬號、sftp賬號、root賬號、管理員賬號、cms賬號是否被盜（通過查看賬號登陸日志來判斷）。最好統(tǒng)一改復(fù)雜點的密碼，用自動生成帶算法的隨機密碼，如使用“花密”工具；

　　2、把cms后臺的在線編輯文件/模板的功能關(guān)閉（普通內(nèi)容管理cms及博客系統(tǒng)都可以關(guān)閉此功能）；

　　3、利用各種網(wǎng)站安全工具進行檢測，如百度站長平臺工具“優(yōu)化與維護”中就有“安全檢測”和“漏洞檢測”兩個功能。當(dāng)然也可以用站長平臺推薦推薦的安全聯(lián)盟（我怎么可能會跟你說數(shù)字也有同樣功能的產(chǎn)品）；

　　4、修改域名管理平臺的賬號，加強賬號安全，盡量使用二次驗證登陸，如dnspod的D令牌等。

　　5、提前通過平臺批量驗證功能驗證子站點，這樣如果有人搶注了你的子域名，你會在站點管理處看到該網(wǎng)站“驗證失效”。

　　其實，服務(wù)器安全這塊，小弟我并不懂，知道的也只是九牛之一毛的毛尖而已，大家應(yīng)該把這個皮球踢給公司的技術(shù)大牛們。

　　同時提醒各位同學(xué)，像站長平臺這種比較特殊的網(wǎng)站，賬號密碼一定不要和其它網(wǎng)站一致，還有域名管理和第三方dns解析平臺的賬號密碼。