網(wǎng)站是黑客最喜歡的入侵目標(biāo)，不僅可以植入惡意代碼劫持流量獲利，還可以進(jìn)一步入侵服務(wù)器，進(jìn)行勒索或植入挖礦病毒。同時(shí)幾乎每個(gè)網(wǎng)站都有自己的管理后臺(tái)，后臺(tái)擁有許多強(qiáng)大的功能，以方便管理員在線管理網(wǎng)站。如果不法分子竊取了后臺(tái)管理權(quán)限，那帶來(lái)的危害就不言而喻了，因此做好后臺(tái)安全防護(hù)是非常必要的事情。

很多開(kāi)發(fā)人員都會(huì)通過(guò)身份驗(yàn)證機(jī)制，阻止未授權(quán)用戶訪問(wèn)。這一套機(jī)制本身很不錯(cuò)，不過(guò)在實(shí)際應(yīng)用過(guò)程中仍然存在一些隱患。比如黑客可以采用撞庫(kù)或者暴力破解方式破解后臺(tái)管理賬戶和密碼。或者通過(guò)XSS跨站入侵直接竊取管理員身份信息。或者因開(kāi)發(fā)人員疏忽，導(dǎo)致某些文件未做身份驗(yàn)證。種種原因都可能導(dǎo)致后臺(tái)被輕松突破。因此要做好后臺(tái)安全防護(hù)，除了網(wǎng)站程序?qū)用娴纳矸蒡?yàn)證機(jī)制，我們還應(yīng)該使用第三方手段，強(qiáng)化后臺(tái)身份驗(yàn)證，不給黑客可乘之機(jī)。

那么如何有效保護(hù)后臺(tái)呢？

可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“網(wǎng)站后臺(tái)保護(hù)”模塊，給后臺(tái)加一把鎖，或是限定只有指定城市才能訪問(wèn)（如下圖一）。該系統(tǒng)防護(hù)機(jī)制不和網(wǎng)站程序掛鉤，是完全獨(dú)立的防護(hù)模塊，并且可以對(duì)后臺(tái)下的所有文件（包括圖片、html、js等靜態(tài)文件）都進(jìn)行保護(hù)。

（圖一：網(wǎng)站后臺(tái)保護(hù)）

如上圖所示，當(dāng)用戶訪問(wèn)后臺(tái)（/admin/）時(shí)，如果用戶IP屬于成都市，可以直接訪問(wèn)。用戶不在成都市范圍，則會(huì)要求輸入授權(quán)密碼（如下圖二），只有輸入了正確的密碼才能訪問(wèn)后臺(tái)，然后再進(jìn)行程序自身的身份驗(yàn)證。

（圖二：不在成都市范圍，要求密碼驗(yàn)證）

輸入正確的授權(quán)密碼后，才能看到后臺(tái)登錄頁(yè)面（如下圖三）

（圖三：后臺(tái)登錄驗(yàn)證）

通過(guò)上述一步操作，網(wǎng)站后臺(tái)的安全問(wèn)性就能提升了許多倍。以城市為授權(quán)單位也沒(méi)啥安全隱患，因?yàn)楹诳鸵话愣际褂脟?guó)外主機(jī)發(fā)起攻擊，防止被溯源。同時(shí)黑客和你同所城市的幾率非常非常小。怎么樣，簡(jiǎn)單吧？如果你也有此需要，趕緊部署吧！