经常遇到客户联系我们客服,第一句话就是问“我的网站被攻击了,是不是你们免费版故意留了后门”类似这样的怀疑自己免费下载的DouPHP是不是故意被我们开发商留了后门,以便让他们付费。
首先先给出明确回答:没有!
为什么没有,每次用户与客服对话,似乎都是被做了有罪推定,就是无论我们如何回答,都像是在狡辩,所以两种情况:1,要么不做解释,就好似“没做亏心事不怕鬼敲门”,但通常是不行,用户会不依不饶;2,解释……解释……解释……各种解释,每次都要花费大量时间,苦口婆心还得非常耐心的语气。其实这本身就是非常不公平的事,我们免费开源系统了建站系统,用户也是自行下载安装,本身网站被攻击的事原因就很多,咋也不敢说我们的系统100%没问题,再没排查出问题之前什么可能都有,但如果为了证明我们没有故意留后门而去花费大量时间免费帮用户排查问题,咋也确实伤不起这个时间。以下就统一做一下解答,以便日后给用户一个统一的解答。
一,DouPHP是一款100%开源的建站系统,就是说所有代码被下载后,用户是可以看到所有代码的,咋也不可能在开源代码里留什么后门代码,可能您会觉得,我又不懂代码,谁知道你们留没留,可是您有没想过,做为开发者我们不可能假定所有用户都不懂啊,万一一个万个用户中有一个懂呢(更何况实际情况使用开源系统最多的就是第三方的开发者,都是懂代码的),所以这种事开源情况下是做不了的。
二,我们没有必要这样做,您想想,您怀疑我们故意留后门肯定是怀疑我们是为了口后门让用户付费。可是您有没想过,一个建站系统能不能盈利最大的因素是有没有用户使用。留后门这种事一旦被发现,名声就会败坏,是不可能还会有用户继续使用的,从长远来看这是不符合盈利的目的的。
三,实际上DouPHP也不是完全安全的,早期的乌云、现在的cnvd漏洞平台国家信息安全漏洞共享平台也经常会有白帽子反馈我们系统的漏洞,对于这样的反馈,其实您可能无法理解,作为厂家是很喜欢的,白帽子话时间免费帮你排查漏洞,还不用花钱,肯定是欢迎的,反馈后我们接收到通知,基本上第一时间就会给与修复,这样我们的系统才会越来越完善。世界上本身就不存在100%安全的系统,您看电视啥的也会听到哪国哪国的啥系统被攻击,或者听说Android、IOS被爆出或者常见主动修复了什么漏洞,所以大公司都不做到,更别说我们这样的小公司。
四,必须明确告诉您,DouPHP没有区分免费版和付费版,我们的付费用户使用的系统一样是官网跟您一样下载的。付费的区别只是服务不同,就是说付费用户我们会直接提供技术支持,还有就是使用更多的付费模板、插件等,仅仅只是获取到的服务更多,核心系统都是一摸一样的。
回到用户网站被攻击的问题
网站被攻击其实原因很多,有确实是代码漏洞(不是故意留的,开发本身就是一个完善的过程),其实大部分更直接的是服务器安全设置和个人使用的安全习惯。以下列举部分可能的原因。
一,其实最常见被攻击的原因,并不是黑客多厉害,而是用户最基本的安全工作没做到。
1,网站后台地址使用默认的/admin,使用的管理员账号是常见的admin,这些都是很容易被猜到的,因为很多系统默认给设置的就是这样的。还有就是管理员的密码,比如常见的:admin888、admin123、123456、12345678等等,其实黑客只要发现了您网站后台地址,再用工具批量匹配一下常见的密码,很容易就破解进入后台。所以咋们只要把基本的安全做到位,比如用户地址不要使用默认的/admin、密码也尽量设置复杂不容易猜到的,安全事故其实已经下降了一大半。
2,服务器安全配置,服务器安全没做到位,也是被攻击的一个主要问题,这方面用户自己处理可能就比较复杂了,排查就更复杂了,所以咋们尽量选择正规,实力强一点的服务商,或者请专业的服务器技术人员给您做一下安全配置。
3,就是DouPHP本身的安全性了,这个我们也不敢说我们的系统100%没问题,但肯定可以给您保证,到您咨询为止我们肯定是没有发现什么新的安全问题。总得来说DouPHP是一款比较简单的建站系统,本身系统提供的功能就比较有限,所以给留的漏洞空间其实从理论上就比较小了,系统就是功能越多越复杂出错的的概率相对就会高一些。
关于问题解决
如果您确实遇到的网站被攻击,又想把问题找出来,我们建议还是购买我们的付费服务(这里也是一个难点,通常提到钱,你做的啥解释都变成是为了这一步,但实际上您使用电脑、使用电气遇到问题最好的解决办法就是找专业的技术人员给您排查,没有谁会免费为您服务的,咋也不是公益组织,也没有人给我们发经费)