这个问题看着简单但是实际涉及多个方面，详情如下。

1.你的网站本来都是外包人员开发，你如何保障他没有留后门进行其它操作?

对于不懂技术的人实际上是很容易被技术人员忽悠的，但是我相信大多数技术人员还是心存善意。不会恶意留后门什么的。但是从安全的角度来看，技术人员本身的安全问题必须去考虑。有时网站本身的漏洞，一样可以导致服务器权限本人获取。所以你如果确实对给你外包的人员很是担心，建议还是找专门的安全人员进行检测和确认，并完善网站安全措施。

2.是否已修改了阿里云ECS密码？

修改阿里云ECS密码的时候最好确认下当前存在的用户有哪些，如果并非自己创建的用户最好禁用。其次是把使用中的账号密码修改一下，修改的时候建议使用较为复杂的“字母+数字+特殊字符”的组合。

3.是否已确认阿里云的ECS无证书访问？

如果你的服务器是linux的，除了修改账号密码之外还需要确认一下是否有设置通过证书直接登录。如果有建议删除，或重新生成一个证书。

4.是否已修改阿里云管理后台账号密码？

阿里本身提供了很多安全机制以避免有人登录后台后可以直接访问ECS，数据库等资源。但是如果后台之前有访问过数据库资源，或者操作重启等是没有二次认证的。因此后台账号密码如果泄露一样可以被人恶意利用。

5.是否已禁用阿里云子账号？

阿里云有建立子账号的功能，子账号权限可以进行分配。你如果授权给外包人员维护你的网站时，你可以建立一个子账户提供给对方使用，并不需要把主账号提供给对方且还可以限制对方的资源访问权限。在对方使用完成之后直接禁用子账号即可。

6.是否有禁用阿里云的AccessKey?

阿里云给每一个账号都分配有一个accesskey,其使用方式是通过阿里云api对云资源进行访问操作。其操作权限和其对应的账号权限是一样的。但是accesskey的作用很容易本人给忽视，进而导致服务器被人给操作。如果accesskey泄露后，需要在后台及时更改accesskey以免造成更大的损失。

小结：以上操作可能不能百分之百保证你的网站是安全的，但是他可以大大的提升你网站的安全性。

网友二：

首先给你个肯定答案，只修改阿里云密码肯定不行

为什么这样说呢，听老李来给你详细的解答下

阿里云密码只是管理服务器重启等一些简单操作的密码，这个首先肯定要修改，但不是修改了这个密码就万无一失了。

网站还有后台管理密码，这个和阿里云密码不是一样的功能，所以这个密码必须修改，不修改就可以登陆后台任意删除网站内容。

再有就是FTP密码，这个是用来上传下载网站内容的，这个也必须修改，不修改就可以用FTP登陆服务器删除服务器上所有的东西。

还有就是网站可能被人家留有后门，这样不管你修改了所有的密码，人家还会一样登陆，这个才是最麻烦的，建议你找专业人员给你检查网站是否有后门。

网友三：

事情没有你想得那么简单，网站存着后门呢？

在线修改代码很简单的。

有些后门可以通过软件扫描出来，但是有些是扫描不出来的。

比方说，你登陆后台是需要账号密码的，但是也可以通过特殊手段不用账号密码或其他方法进入后台。

还有你说修改阿里云密码只是改了个阿里云密码，服务器的密码呢？数据库密码？

不过这样说吧，既然选择外包了，就要选择相信对方。双方建立在共同信任的基础上来合作。

网友四：

我可以很明确的说，仅仅修改阿里云的密码远远不够的，主要原因：

1、网站漏洞

网站外包，要看外包对象是谁，如果是正规的外包公司，而且是走正式的合同情况下，一般外包人员是不敢轻易设置漏洞的。

但如果是不靠谱的外包，那很可能就存在风险了，直接在你代码里留个后台，随时都能让你奔溃。

2、如何保护网站

首先，要具备代码走查的能力，哪怕找工具扫描扫描，或者直接找懂的人看看有没有问题；

其次，阿里云密码要设置的足够复杂；

再次，本人网站经常受攻击，但是采取的最有效的方案，就是把服务器上相关代码文件写权限全部给禁用了，这样哪怕是有楼道，也很难修改你的网站代码。

网友五：

1.首先既然选择了外包公司，应该你们建立了信任，如果不信任肯定也不会合作

2.其次外包团队一般接的单，比较多，项目经理应该是有职业操守的，他们连这点都做不到，以后就别在圈里混了。

3. 为了以防万一项目移交后，还是把网站后台密码、数据库账号密码、运维平台密码，阿里云服务器密码统统改一遍，尽量密码改复杂点，防止暴力破解；

以上几点如果你做到了，一般都问题不大，除非黑客高手黑你，或者外包团队之前故意留后门（就跟美国政府一样，咱们的电脑硬件在出厂的时候就自己植入木马了，防不胜防啊）之前科研机构怕优盘不安全，打算刻光盘，谁曾想到刻录软件是美国人开发的，你刻录过程中已经被植入木马了 哎，不说了 扯远了。

网友六：

首先有多种方式可以修改网站代码，最常见的比如远程登录服务器修改、使用ftp方式修改、或者使用webshell方式修改、使用主机面板修改。

网络图片，如有侵权请联系删除，谢谢！

所以如果只是简单修改阿里云密码，而没有修改其他系统账号或者密码。网站开发人员可以通过以上方式中的其中1-2种方式连接服务器修改网站代码。很难从根本上杜绝他人修改网站代码。

如果不想叫外包人员直接修改网站代码，除了把以上登录方式的账号密码、密钥修改后，把阿里云登录账号密码修改。如果阿里云账号绑定的手机号、邮箱不是自己的，还需要把阿里云绑定的手机号、邮箱修改为自己的。防止他人通过忘记阿里云密码的方式找回密码。

然后对网站代码做安全检查，看看有没有类似于webshell的脚本木马程序。

补充：阿里云服务器登录方式根据不同的服务器有不同的方式，比如windows服务器 可以使用rdp、teamview等远程桌面工具登录，所以除了修改windows系统密码外，还需要修改远程登录工具的账号密码。Linux服务器常见的登录方式有ssh、vnc。除了修改root密码外，还要看看linux系统中有没有其他未知的用户，如果有其他未知用户，从安全角度，建议停用。

网友七：

我接的外包，如果我做完了，但他没有付尾款。他就算把换100台不同的服务器，只要用我的源码，我都有办法。。。。（自己体会）。

我们讲职业道德，客户也基本都会诚信到最后。但怕就怕客户不讲道理，以防万一，都会留，但基本没用到过！

网友八：

你对后门一无所知。我们这些人也不可能告诉你，一定怎样，不一定怎样。重点是找存活年头长的公司，结清尾款别拖欠，以及保留材料准备起诉。

什么？准备起诉？是的，如果你网站出事了，先考虑外包公司。可能准备了半天用不上，总比用上了好。

网友九：

安全是比较宽泛的话题。他要留后门大致我想到的有几种。

1. 阿里云登录控制台，他如果有帐号密码，可以进去重置密码，搞死你。

2. 机器ssh密码，你问题说了。这里注意要检查所有账号，密码，ssh的公钥配置，特殊的登录模块等等。

3. 机器上某个服务的权限。比如有些非ssh的服务可以允许远程管理或登录. telnet，rsh，rdp，vnc，chrome desktop等等

4. 恶意后门。比如，网站php，java可以执行的后门。举个例子，他代码里面有个backdoor.php，根据页面入参可以执行任何shell命令。 又或者mysql端口对公网打开，他可以进去改数据库等等。

5. 更隐蔽的代码漏洞。比如oss的accesskey和 密钥他知道，他就可以直接改oss的文件，而如果代码有逻辑直接从oss下载，执行oss上的脚本，这个相当于他可以直接控制服务器了。

6. 有些远程登录软件可以在Web 服务器运行，例如web ssh。

7. 周期或者延期类的脚本行为，在将来打开后门。比如某个不显眼的账号埋入一个3个月后执行的脚本来打开后门，后患无穷。

还有很多其他的，总的来说，最好系统都不让他碰，太多后门的可能了。这样你就只用专注于审查他的代码。

Tags: 网站外包 阿里云密码修改 修改网站代码

分享到：