注入漏洞、上传破绽、弱口令漏洞等问题随处可见。跨站攻打，远程节制等等是再老套不外了的话题。有些免备案空间主机治理员不知是为了便利仍是不熟习配置，罗唆就将所有的网站都放在统一个目录中，而后将上级目录设置为站点根目录。有些呢，则将所有的站点的目录都设置为可履行、可写入、可修正。
　　注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站袭击，远程掌握等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置，索性就将所有的网站都放在同一个目录中，然后将上级目录设置为站点根目录。有些呢，则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便，在服务器上挂起了QQ，也装上了BT。更有甚者，居然把Internet来宾帐号加入到Administrators组中!汗……!一般的用户将自己的密码设置为诞辰之类的6位纯数字，这种情形还可以谅解，究竟他们大部门都不是专门搞网络研讨的，中国公民的安全意识进步还需要一段时光嘛，但假如是网络管理员也这样，那就怎么也有点让人想不通了。网络安全问题日益凸起，最近不又有人宣称“万网：我进来玩过两次了!”。这么著名气的网络服务商，也未免一逃啊!网站注入漏洞是最近还频频在报刊杂志上曝光的高校入侵……一句话，目前很大局部的网站平安状态让人担心!
　　这里就我个人从前的阅历跟大家一起来探讨有关保险免备案空间虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例，跟大家独特探讨虚拟主机配置问题。
　　一、建破Windows用户
　　为每个网站独自设置windows用户帐号cert，删除帐号的User组，将cert参加Guest用户组。将用户不能更改密码，密码永不过时两个选项选上。
　　二、设置文件夹权限
　　1、设置非站点相关目录权限
　　Windows装置好后，良多目录和文件默认是everyone可以阅读、查看、运行甚至是可以修改的。这给服务器安全带来极大的隐患。这里就我个人的一些教训提一些在入侵中较常用的目录。
　　以上这些目录或文件的权限应当作恰当的限度。如取消Guests用户的查看、修改和执行等权限。因为篇幅关联，这里仅简略提及。
　　2、设置站点相干目录权限：
　　A、设置站点根目录权限：将刚树立的用户cert给对应站点文件夹，假设为D：\cert设置相应的权限：Adiministrators组为完整把持;cert有读取及运行、列出文件夹目录、读取，撤消其它所有权限。
　　B、设置可更新文件权限：经由第1步站点根目录文件夹权限的设置后，Guest用户已经不修改站点文件夹中任何内容的权限了。这显然对一个有更新的站点是不够的。这时就须要对单独的需更新的文件进行权限设置。当然这个可能对免备案空间虚拟主机供给商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，能够规定某个文件夹可写、可改。如有些虚拟主机提供商就划定，站点根目录中uploads为web可上传文件夹，data或者database为数据库文件夹。这样免备案空间虚拟主机服务商就可认为客户定制这两个文件夹的权限。当然也可以像有些做的比拟好的免备案空间虚拟主机提供商一样，给客户做一个程序，让客户本人设定。可能要做到这样，服务商又得花不小的钱财和人力哦。