一、為什么我們網站老是被攻擊？

1、注入漏洞問題：當用戶提供的數據被作為指令的一部分發送到轉換器(將文本指令轉換成可執行的機器指令)的時候，黑客會欺騙轉換器。攻擊者可以利用注入漏洞創 建、讀取、更新或者刪除應用軟件上的任意數據。在最壞的情況下，攻擊者可以利用這些漏洞完全控制應用軟件和底層系統，甚至繞過系統底層的防火墻。

2、跨站腳本(XSS)問題：XSS漏洞是最普遍和最致命的網絡應用軟件安全漏洞，當一款應用軟件將用戶數據發送到不帶認證或者不對內容進行編碼的網絡瀏覽器時容易發生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數據，破壞網站，插入有害內容，以及展開釣魚式攻擊和惡意攻擊。

3、惡意文件執行問題：黑客們可以遠程執行代碼、遠程安裝rootkits工具或者完全攻破一個系統。任何一款接受來自用戶的文件名或者文件的網絡應用軟件都是存在漏洞的。漏洞可能是用PHP語言寫的，PHP是網絡開發過程中應用最普遍的一種腳本語言。

4、不安全的直接對象參照物問題：攻擊者可以利用直接對象參照物而越權存取其他對象。當網站地址或者其他參數包含了文件、目錄、數據庫記錄或者關鍵字等參照物對象時就可能發生這種攻擊。

5、跨站指令偽造問題：這種攻擊簡單但破壞性強，它可以控制受害人的瀏覽器然后發送惡意指令到網絡應用軟件上。這種網站是很容易被攻擊的，部分原因是因為它們是根據會話cookie或者“自動記憶”功能來授權指令的。各銀行就是潛在的被攻擊目標。

6、信息泄露和錯誤處理不當問題：各種應用軟件產生并顯示給用戶看的錯誤信息對于黑客們來說也是有用的，那些信息可能將用戶的隱私信息、軟件的配置或者其他內部資料泄露出去。

7、不安全的認證和會話管理問題：如果應用軟件不能自始至終地保護認證證書和會話標識，用戶的管理員賬戶就會被攻破。應注意隱私侵犯和認證系統的基礎原理并進行有效監控。

8、不安全的加密存儲設備問題：雖然加密本身也是大部分網絡應用軟件中的一個重要組成部分，但是許多網絡開發員沒有對存儲中的敏感數據進行加密。即便是現有的加密技術，其設計也是粗制濫造的。

9、不安全的通信問題：與第8種漏洞類似，這種漏洞出現的原因是因為在需要對包含敏感信息的通信進行保護時沒有將網絡流通的數據進行加密。攻擊者們可以獲得包括證書和敏感信息的傳送在內的各種不受保護的會話內容。因此，PCI標準要求對網絡上傳輸的信用卡信息進行加密。

10、未對網站地址的訪問進行限制問題：有些網頁的訪問應該是受限于一小部分特權用戶，比如管理員。然而這些網頁通常并不具備真正的保護系統，黑客們可以通過猜測的方式找出這些地址。

二、網站被攻擊怎么處理，有什么影響？

事先你要了解你的網站是如何被攻擊的。下面這四種是bai常規的攻擊方式：

1，流量攻擊，就是我們常說的DDOS和DOS等攻擊，這種攻擊屬于最常見的流量攻擊中的帶寬攻擊，一般是使用大量數據包淹沒一個或多個路由器、服務器和防火墻，使你的網站處于癱瘓狀態無法正常打開。但是這種攻擊成本都會很高，所以遇到這樣的攻擊的時候大家不要驚慌，另外可以試試防御系統，這樣的話攻擊不會主要針對你的網站。

2， CC攻擊，也是流量攻擊的一種，CC就是模擬多個用戶（多少線程就是多少用戶）不停地進行訪問那些需要大量數據操作（就是需要大量CPU時間）的頁面，造成服務器資源的浪費，CPU長時間處于100%，永遠都有處理不完的連接直至就網絡擁塞，正常的訪問被中止。而CC攻擊基本上都是針對端口的攻擊，以上這兩種攻擊基本上都屬于硬性流量的攻擊， 下面說一下針對數據庫的安全進行的一些攻擊。

3，破壞數據性的攻擊，其實這里說的也就不算是硬性的攻擊了，這種是拿到網站的管理權限后可以對頁面的內容進行修改，這樣的入侵對于網站來說是致命性的，不僅搜索引擎會降權，還會丟失大量的用戶。降低這樣的入侵帶來的危害需要經常備份網站數據和網站關鍵程序，最好打包到本地電腦里;做好關鍵文件的權限設置;網站最好采用全靜態頁面，因為靜態頁面是不容易被黑客攻擊的;ftp和后臺相關密碼不要用弱口令

4，掛馬或者掛黑鏈，這種不會像第二種危害那么大，但是也是不容忽視的，搜索引擎一旦把你的網站視為木馬網站就會被封殺甚至還會列入黑名單，所以問題也不可以忽視。

下面是一些簡單的解決方法：

1、修改網站后臺的用戶名和密碼及后臺的默認路徑。

2、更改數據庫名,如果是ACCESS數據庫，那文件的擴展名最好不要用mdb，改成ASP的，文件名也可以多幾個特殊符號。

3、接著檢查一下網站有沒有注入漏洞或跨站漏洞，如果有的話就相當打上防注入或防跨站補丁。

4、檢查一下網站的上傳文件，常見了有欺騙上傳漏洞，就對相應的代碼進行過濾。

5、盡可能不要暴露網站的后臺地址，以免被社會工程學猜解出管理用戶和密碼。

6、寫入一些防掛馬代碼，讓框架代碼等掛馬無效。

7、禁用FSO權限也是一種比較絕的方法。

8、修改網站部分文件夾的讀寫權限。

9、如果你是自己的服務器，那就不僅要對你的網站程序做一下安全了，而且要對你的服務器做一下安全也是很有必要了！

三、怎么避免網站被攻擊？

1、在網絡安全方面，服務器是重要的防護和被攻擊節點，其中DDoS、CC攻擊就是比較常見的網絡攻擊方式

2、其實，只需要提前預防，做好相關防御措施及管理措施，就可以避免網站被攻擊

3、首先，關閉不必要的端口和服務，安裝殺毒軟件或者是防火墻來抵御攻擊

4、其次，定期修改賬戶密碼，盡量設置的復雜些，不要使用弱密碼；日常維護的時候要注意，不建議在服務器上安裝過多的軟件。

5、第三，及時修復漏洞，在有官方安全補丁發布時，要及時進行下載更新補丁

6、最后，就是在管理方面，設置賬戶權限，不同的文件夾允許什么賬號訪問、修改等，同時，重要的文件夾建議增加密碼；還要定期備份數據，當有發現問題時，可以及時替換成正常的文件。