網站被掛碼一般是被 xss攻擊 ，sql注入攻擊(這是網頁端)。

又或者是伺服器存在的安全問題導致的問題。

所以網站建設中需要保證伺服器的安全，web許可權的控制，php安全模式的開啟(如果語言是php開發)，其次就是網站程式碼中需要注意的，資料庫操作都做預載入防止sql注入，入庫的資料都做一些惡意標籤的剔除或者轉義，防止惡意js程式碼注入。

如果是使用一些開源搭建的網站，要注意實時更新軟體釋出的補丁或者問題修復的升級

一般使用者可能沒有感覺，但站長朋友肯定知道，如果一個網站放置一段時間不管它，等某一天你再去看它時，發現它可能都被掛馬了。其實網站被掛馬是常見現象，特別是基於CMS開發的網站。

網站一旦被掛馬，就會給訪客和網站自身帶來一些麻煩，比如說：

網頁上會存在一些惡意指令碼，可能會彈出很多垃圾廣告彈窗、跳轉到不相關甚至是非法的網站上、插入大量連結、網頁死迴圈等，降低了訪問體驗；

原網站內容被非法篡改，網站面目全非；

影響網站SEO效果，降低百度等排名，網站極容易被降權等；

上面講的這些危害後果，其實網站一旦被掛馬後，清理也是很麻煩的一件事，因為駭客已經破壞了你網站的原始檔，而且不止一處插入了惡意程式碼。

那這些駭客是如何將惡意程式碼植入我們網站程式中的呢？無非是這幾步：

1、駭客尋找網站漏洞並利用

這裡的漏洞主要有這些：

檔案上傳漏洞：比如上傳頁面沒有對上傳檔案格式做驗證導致上傳了動態指令碼（如直接上傳了php檔案），再者是上傳頁面沒有做許可權驗證導致非法使用者也能上傳檔案等；

表單資料未過濾漏洞：比如使用者在發表文章時，可以插入JS、CSS程式碼，這樣就足以植入惡意指令碼，頁面渲染時就會執行這些JS、CSS程式碼；

SQL注入漏洞：存在SQL注入點，駭客可以入侵資料庫進行操作，嚴重的還能刪庫；

管理後臺弱口令漏洞：一些管理後臺帳號密碼過於簡單（比如 admin），一猜就中，直接登入進入後臺，想怎麼操作就怎麼操作 ...

2、惡意程式碼植入

找到漏洞後就可以利用，然後在網頁程式中植入惡意程式碼，這樣使用者訪問到頁面後就會載入到這些惡意程式碼，攻擊者的目的也就達到了。

既然我們知道駭客掛馬的大致流程，那如何避免網站被掛馬呢？結合我十幾年的運維經驗整理了一些建議供大家參考：

1、網站建設時請儘可能不要選擇CMS

現在市面上的CMS原始碼都是公開的，所以0day漏洞也很多。漏洞公開後，大家只要找到是這種CMS建的站，基本上都能攻擊成功，所以波及範圍較廣。

但如果我們的程式是自主開發的，那攻擊者不知道我們的原始碼邏輯，攻擊難度會很大。如果是基於CMS建的網站，一定要留意官方釋出的補丁及時修復。

2、使用者提交的資料做好過濾

在WEB開發領域，我們一直強呼叫戶的任何輸入都是不能相信的，我們在拿到使用者提供的資料後務必要做必要的核驗（格式是否正確）和過濾（過濾一些敏感字元）。我的建議是：

資料型別強制轉換；

過濾掉這些內容：JS標籤及程式碼、CSS標籤及程式碼、HTML標籤中的各類事件、單引號、雙引號、SQL關鍵字；

3、原始碼目錄及檔案許可權嚴格控制

這個是很重要的，既使攻擊者拿到了上傳漏洞，但是我們只允許它上傳到特定目錄，其它目錄沒有寫許可權，那就感染不了，如果沒有執行許可權，那上傳的動態指令碼也是無法執行的。

4、後臺使用複雜口令

後臺地址改成無法猜到的地址，密碼一定要設得複雜點。

5、定期對站點進行木馬查殺

定期把站點備份好，然後做木馬查殺，現在防毒軟體是可以查殺WEB木馬的。