早期的建站确实面临很多安全风险，像比较有名的SQL注入、XSS,用什么阿D、明小子 之类的软件轻松提权，然后用灰鸽子一控制，就为所欲为了，但这只能吹牛逼了，现在开发阶段用的框架哪个不能把你防的死死的，除非很low 的开发用很古老的技术，那样的站点被黑了会有什么损失?

如果非要强调安全，我觉得做好以下几点:

• 数据安全(全量、增量备份，异地互备)

• 服务器(安全补丁、账号安全、安全日志、防火墙配置、进程检查、系统文件篡改检查等)

• 开发安全(了解安全知识，了解常见攻击手段，提高安全意识)

• 其它 有些开源系统某个版本后门都众所周知了，就不要用了，用新的版本或其它产品

1、来自服务器本身及网络环境的安全，这包括服务器系统漏洞，系统权限，网络环境（如ARP等）、网络端口管理等，这个是基础。服务器被入侵一般都是以下几种情况

一: 漏洞, 又分为服务器环境的漏洞和使用程序的漏洞
二: 弱口令, 服务器账号或管理员账号的密码存在简单的弱口令, 被黑客猜解出来了, 如果经常看服务器系统日志的朋友可能会知道, 经常会有陌生的ip在扫描服务器指定的端口,比如22端口
三: 权限设置不合理, 如果权限设置不合理的话, 黑客很容易就能通过一个简单的脚本或几行代码就能进行提权,进行破坏。

2、来自WEB服务器应用的安全，IIS或者Apache等，本身的配置、权限等，这个直接影响访问网站的效率和结果。

3、网站程序的安全，这可能程序漏洞，程序的权限审核，以及执行的效率，这个是WEB安全中占比例非常高的一部分。

4、WEB Server周边应用的安全，一台WEB服务器通常不是独立存在的，可能其它的应用服务器会影响到WEB服务器的安全，如数据库服务、FTP服务等。这只是大概说了一下，关于WEB应用服务器的安全从来都不是一个独立存在的问题。