网站被挂马时刻有，只是每到过年特别多。过年大部分网站都会出现流量激增。站长这个时间也会疏于网站管理。网站被挂了马怎么办？

先还是讲讲为什么会被挂马？

我们自己在做站也经常碰到网站突然被挂马了。有些被挂马人家只是想要你的数据，他们拿了数据，一般你都不会发现，但是有些他会在篡改网页，这个一般容易发现，经常浏览自己的网站，马上能发现。网站被挂马一般有哪些路径。

站长一碰到网站被挂马就只往源码考虑，以为是源码有后门什么的，但是就是没有想过为什么大部分都正常，你的却被挂了马，有些是新站，甚至连搜索都还没有收录就也被挂马了，这些等等都不一定单纯的只是源码问题，综合的考虑，先服务器环境。现在大部分站长使用BT宝塔环境居多，难道BT就100%安全，不一定，上次不就出现了疏忽数据库直接可以浏览修改这个问题。但是环境问题一般站长没有能力解决。我们基本也不考虑，只要时刻更新环境和官方同步便可。源码本身的问题，这里尽量选择大众化，有官方在维护的系统，比如DZ，帝国CMS，WP等，第一时间如果有系统BUG他们会更新打补丁便可。但是也不一定代表他们这种就100%安全。百度下这些大公司的产品曾经就出现过N个漏洞问题，任何漏洞能百度出来了，说明已经晚了。一般漏洞提前几个月甚至半年就出现了。官方本身的漏洞问题站长其实也没有能力修复或找出来。除了服务器环境和源码本身，还有一些是站长自身的问题。平时的坏习惯养成，比如默认的账号密码，弱口令，admin,123456 这种密码一猜就猜出来了。还有一些站长喜欢追求免费的资源，或别人挂个演示站去注册，然后用平时习惯的账号密码注册，而那些别有用心的人刚好可以利用这个收集账号密码，简单的说就是撞库。

那么怎么尽量避免网站被挂马？

1，服务器环境时刻更新官方同步，

2，源码系统时刻更新到新版，

3，默认账号密码及时修改，

4，会员中心和后台不要轻易给别人看，尤其是后台。

5，会员中心如果不需要就关闭或删除，

6，上传附件目录尽量设置无脚本权限，也就是不能执行。

7，网站安装设置完毕后尽量对某些目录做只读权限设置。

8，服务器安装一些简单的防护软件，比如安全狗等。

9，比如宝塔专业版这种有安全插件的可以考虑安装，尤其是重要的数据，

10，重要的网站可以考虑附件和主程序甚至数据库分离，做好网站快照，数据库定时备份功能。

11，尽量选择付费源码。为什么要免费，这个问题你一定要搞懂。或想清楚。任何免费都是有目的的。

12，注意时刻查看FTP连上后网站目录更新左后时间，一般上传马后他的时间会改变。

13，大致要熟悉你所使用网站源码的目录和文件，有些文件一看就知道非系统源码，

14，定期网站备份下到本地，查杀木马等。

15，尽量选择大公司的服务器，比如腾讯云，阿里云，有些木马上传后第一时间会短信或邮件告诉你。