[发明专利]一种网站后台保护的方法

说明书

本发明公开了一种网站后台保护的方法，涉及信息安全技术领域；为了解决进行安全管理较为繁琐的问题；具体包括如下步骤：数据存储步骤；网站后台设置手机验证网页；通过验证后，后端程序将手机号码加密串、时间戳及Token保存至cookies，Token由手机号码、时间戳、密钥合并为一个字符串然后MD5加密得到。本发明通过NginxWEB服务器插件与手机验证程序相结合，直接在WEB服务器插件程序中拒绝所有未经验证的访问，通过手机验证程序确保注册用户身份的真实性，生成加密Token令牌确保安全性，插件程序通过判断加密Token令牌，对用户作出放行或拒绝的指令，从而保护网站后台的安全。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种网站后台保护的方法。

背景技术

随着信息技术以及网络的普及，越来越多的企事业单位开始采用宣传网站的形式来进行企业的宣传，更随着电子商务交易模式的崛起，越来越多的B2C、C2C等形式的网站开始普及，其回报的效益是相当客观的，但同时，越来越多的非法人员看到其利益所在，开始实行各种攻击、潜入、种植木马病毒等方式窃取网站程序以及网站所存储的数据信息，给各个网站的使用者造成了或多或少的影响，例如主页被黑事件、员工跳槽带走开发程序、数据库信息等，目前大多数网站的后台程序以用户名、密码对用户身份进行验证，安全性差，对后台程序也未起到保护作用，黑客使用URL扫描、用户名密码爆力猜解、社会工程学等手段对后台发起攻击，容易因后台应用程序漏洞导致被黑客入侵。

经检索，中国专利申请号为CN201711333846.7的专利，公开了一种电商平台网站数据保护系统，包括数据存储单元、安全管理单元、认证恢复单元与后台服务器，用户的信息通过数据缓存单元进行实时存储，同时安全管理单元对一存储的信息进行加密，用户需要提取、恢复数据时可通过认证恢复单元对数据进行恢复。当用户身份认证出问题时，报警模块会发出警报信息，提示后台工作人员进行安全管理。上述专利中的电商平台网站数据保护系统存在以下不足：用户身份认证出问题时，需要报警提示后台工作人员进行安全管理，较为繁琐。

发明内容

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种网站后台保护的方法。

为了实现上述目的，本发明采用了如下技术方案：

一种网站后台保护的方法，包括如下步骤：

S1：数据存储步骤；

S2：网站后台设置手机验证网页；

S3：通过验证后，后端程序将手机号码加密串、时间戳及Token保存至cookies，Token由手机号码、时间戳、密钥合并为一个字符串然后MD5加密得到；

S4：nginxWEB服务插件程序默认禁止任何人访问后台任意文件，插件程序获取COOKIES校验时间戳及TOKEN，校验通过的才能访问后台程序或文件。

优选地：所述S1中数据存储步骤，指根据安全管理中心以及安全身份验证工具所设置的各项保存信息采取强制保存策略。

优选地：所述S2中网站后台设置手机验证网页用于用户通过手机号码获取验证码，然后将手机号码及验证码提交至后端程序进行验证。

优选地：所述S2中网站后台设置手机验证网页，包括如下步骤：

S11：所有未通过手机验证的用户仅能访问手机验证页面；

S12：用户访问该网页填写手机号码，接收短信验证码，提交至后端程序。

优选地：所述S3中通过验证，包括如下步骤：

S21：根据用户提交的手机号码、短信验证码，判断验证码是否有效；

S22：有效，如果正确则将手机号码加密串、时间戳及Token保存至cookies；