一、更新第三方web程序。一般著名的流行的web程序经过多年的安全人员的检测，显著的漏洞很少，但是马上有人寻找新的攻击模式来挖掘更加隐蔽的漏洞，然后在网络传开，所以鼓励用开源web程序，或者实时关注官方发布的安全补丁。

二、一般第三方web程序都具有较全面而复杂的功能，但是往往许多功能在你的站点上是没有使用的，建议熟悉web程序文档，将多余的功能禁用或者删除。

三、所有的输入都是有害的，检查用户所有的输入和上传，禁止用户提交的数据直接和数据库打交道。目前主要存在sql注入，xss跨站等等通过非法提交数据，达到入侵的方法。假如你的网站已经投入使用，请检查是否存在注入漏洞，假如已经存在，请及时修复，假如修复工作量较大，请及时加上防注入系统，直到漏洞修复。涉及用户文件上传，请限制上次的格式，因为上传木马往往从你的上传功能中实现的。

四、数据库路径避免被下载，例如：对于新闻网站数据库，一般命名为news.mdb、xinwen.mdb等，存储路径一般为“URL/database”或放在根目录“URL/”下，这样，任何人敲入地址：“URL/database/news.mdb”， 数据库就可以被下载了。所以建议使用没有规律的数据名称，放在没有规律命名的目录下，至少20位。

五、尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随源代码的失密而一同失密，例如：DBPath = Server.MapPath(“./abed67t/61tt/acd/te92/uw3l.mdb ”)，conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath，此时数据库名称再复杂，也有可能被泄露而导致非法下载。

六、定期备份网站程序和数据库，检查程序或者数据最近被修改过的时间，以保证数据的完整性。

七、验证登陆方式，访问任何文件资源都应该验证，尤其是关于一些删除或者编辑的操作。可使用seesion或者cookie的验证方式，对于用户自己的读取数据或者站点资源之前，建议经过验证是否已经授权。

八、保护好空间权限，避免因为人为因素泄露站点账号密码，往往这种情况的危害比被入侵更加的严重。请保证个人工作站的安全，定时杀毒，清除木马和恶意软件，尽量使用一部主机向空间上传文件进行更新。

九、所有调试或者旧的网页文件都应该及时删除，避免使用简单的测试口令登陆管理后台，所有的登陆尽量使用验证码，如果有必要，请加上更加严格的验证。

十、发现网站异常之处，请马上向技术人员报告，并且及时获取证据，详细记录异常过程和处理情况。并根据实际情况，首先备份异常状况，然后再进行处理。建议使用截图和文字说明的方式，复制修改过的文件，然后再进行处理，获得尽可能多的证据。