国外虚拟主机安全吗？国外虚拟主机的安全问题不能一概而论，主要看你选择的商家、产品和配置。无论国内外，想要保障虚拟主机安全，提升虚拟主机防御能力，可以做好以下几点。 1、选择安全系统 在搭建网站的时候，建议选择知名的建站系统，安全性经受过广大站长的验证，常见的漏洞也基本上都被消灭。不要选择一些个人制作的系统，个人的系统被黑客攻击的时候，由于漏洞较多，非常容易泄漏相关信息，付费系统要签一些保密协议或者自己开发。 2、做好网站防范 做好自己网站空间的安全防范措施，比如更改掉默认的数据库，默认密码及后台等，在后台登录时，可以添加一些验证码，这样有效的避免暴力破解。经常清理一下网站的临时文件，不要轻易的选择保存密码，很多密码泄漏就是在浏览器访问时记住密码导致的。 3、设置安全密码 在使用虚拟空间时，多设置一些密码，比如安全密码，包括相关的会员密码，FTP密码，邮箱密码，数据库密码等，尽可能不要重复，且密度长度最好超过8位，密码设置复杂一些，必须含有大小写，数字及特殊符号。常见的密码也不建议使用，然后定期进行密码更换。 4、更改数据库信息 数据库信息可以更改一下后缀，且将存放目录弄的复杂一些，避免被猜中在哪个位置而轻松被下载。平时不要随意上传文件，一些木马或者病毒就是通过这些文件上传到网页空间，然后执行这些可疑程序，从而盗取相关信息。

无忧主机旗下独立ip虚拟主机、虚拟主机凭借其价格低廉、操作便捷等优势，赢得了广大建站用户的青睐。但越来越多的安全问题使虚拟主机不断受到黑客的攻击，尤其是一些个人组建的虚拟主机，技术能力的不足直接导致虚拟主机漏洞百出。 一般来说，常见的网站攻击类型如ddos/cc攻击、xss攻击、xss攻击、sql注入、上传漏洞、挂马、篡改等，而防护此类攻击需要从程序和主机设置两个方面进行，对于不懂技术的普通用户，建议尽量选择专业主机商的虚拟主机服务。 下面就以无忧主机云虚拟主机为例，谈谈我们在日常运维过程中，可以通过哪些方式或措施来提高虚拟主机安全级别，防止危害入侵。 网站程序方面，如您使用的是比较知名的建站系统，应注意及时升级补丁；同时后台登录地址建议改成稍微复杂的路径；管理密码要定期修改，尽量采用强密码，因为很多被黑的站点用户、密码都是初始admin/admin造成。 主机设置方面，通常用户网站被黑，如网页被篡改、文件被盗、被删等都是因为黑客通过网站的文件上传功能将asp/php木马上传到空间并运行造成的。 所以在无法确认系统是否存在上传漏洞的情况下，只要保证文件上传目录没有脚本运行权限，那么即便黑客将木马上传到您的空间也无法运行。 因此，针对常见的挂马、篡改、上传漏洞，关闭写入权限可以极大增强网站的安全性，具体来说：对那些不需要更新的目录，以及重要的系统文件设置只读属性，防止黑客篡改；对需要写入权限的上传目录，单独开设写权限，并启用目录保护，关闭脚本执行权限即可。 此外，针对常见的虚拟主机安全问题，我们还提供了大量实用的安全管理功能： 百度云加速：云虚拟主机提供百度云加速进行防护，开启后能有效防止CC，DDos，Xss，sql注入，抵御上传漏洞、挂马、篡改等黑客行为； 一键杀毒：云虚拟主机支持海量病毒的批量查杀功能，将因网站漏洞导致的病毒木马、带毒文件、非法畸形文件等一网打尽； SSL部署：无需独立IP全面支持SSL安全部署，切实保障网站通信安全、确保业务数据不被篡改、泄露，同时避免了钓鱼网站风险； ddos高防：无忧主机所有云虚拟主机均在应用层部署WAF防御，通过多层次联动防护组合，毫秒级响应，实时监控，避免网站敏感数据泄露，保障网站的安全与可用性； 主机诊断：支持快速查看虚拟主机状态，排除域名解析、FTP登陆、目录权限、端口连接、DDL加载等常见问题，方便用户针对性地测试某些信息，排除服务器管理故障； 数据备份：无忧主机为所有虚拟主机提供免费数据备份服务，默认备份周期为7天/次，用户可自行设置备份频率或恢复网站数据。

国内主机厂众多，对于许多小白用户来说不知道怎么挑选合适的国内主机，比如谁的功能齐全，谁的口碑最好，谁的售后服务最好，那么下面小编就给大家讲一下国内主机厂的情况。 1、阿里云 阿里云的国内主机业务主要来源于万网，万网原来是中国的第一大域名提供商和国内主机厂商，目前主机类产品不多，价格属于中等，因为阿里云的主要业务是云计算，所以主机基本没有很大更新，但毕竟是老牌主机厂了，而且用户基数大，产品还是比较稳定的，适合一些小白站长使用，口碑还是不错的。 2、西部数码 西部数码自成立以来一直专注于域名和国内主机业务，稳定性较好，相比其他国内主机厂西部数码的产品功能齐全，主机管理平台简单易用，价格比较适中，得以于域名业务的增长，主机业务这几年也有比较好的增长势头，成为大多数个人站长和企业的首选。 3、无忧主机 无忧主机也是业内比较老牌的国内主机厂了，成立时间超过15年，其特点是价格便宜、支持试用，也是业内第一家推出免费主机的厂商，俘获了一大批个人站长和学生党，目前主机业务量超过50万，景安拥有完善的售后服务团队，可以做到7*24小时响应，技术也非常专业。配置方面来说还是很良心的，每台主机配置了数据库和独立ip，防病毒、防攻击等功能一应俱全。 4、新网 最早开展域名业务的厂商之一，主要业务包括域名注册、虚拟主机、云服务器、电子邮箱等，国内主机业务市场占有率一直比较稳定，产品结构比较单一，近几年没有推出新品，其优势是技术成熟稳定，拥有服务大型客户的丰富经验，价格比较高，目标用户主要是企业和事业单位。 5、美橙互联 美橙互联是国内第一家推出傻瓜式建站的厂商，通过网站模板可以做到一步建站，成为不少小白用户的选择，但是国内主机产品一直不温不火，也提供国外主机业务，但是价格较高，比较合适企业用户使用。 6、华夏名网 成立于2005年，是业内首批拥有IDC资质的企业之一，主要业务包括服务器托管、域名注册、国内主机等，口碑比较一般，主机速度一般，不支持独立ip主机，客服问题反映比较多，亟待改进。 7、域名频道 域名频道从事域名注册、国内外虚拟主机、服务器托管等一系列电子商务平台建设服务，与国内外各大服务商直接合作，以最优质的服务和高性能的产品推荐给广大客户，有着安全稳定功能齐全的虚拟主机管理系统构成。经过十余年成长，现在已经发展出一套完备的研发与售后体系。据了解至今，目前域名频道虚机用户已达30多万家，安全、稳定，非常适合中小企业网站使用。 一般来说，国内主机厂的选择没有统一的标准，有的是价格有优势、有的是服务有优势、有的是功能有优势，具体的选择要看每个人的需求，各位在选择虚拟主机时，从需求出发以及自己最看重哪点来取舍。

今天英特尔公开披露了Spectre漏洞的新变体Lazy State，将会影响其旗下的多款处理器产品。 据悉，这一最新的Intel CPU漏洞——“Lazy FP state restore（Lazy FP状态保存/恢复）”，是被来自Amazon德国公司的Julian Stecklina、Cyberus Technology公司的Thomas Prescher，以及SYSGO AG公司的Zdenek Sojka共同发现的。 理论上来说，不管你使用的是什么操作系统，利用这一最新的CPU漏洞都可以通过计算机从你的程序中（包括加密软件）提取数据。 Red Hat计算机架构师Jon Masters在接受访问时解释称， CVE-2018-3665，也被称为Lazy FP状态保存/恢复，是另一个推测执行漏洞，影响了一些常用的现代微处理器。它类似于之前的‘Specter’变种3-a。需要特别指出的是，该漏洞不会影响AMD处理器。 Red Hat是以Red Hat Enterprise Linux（RHEL）操作系统闻名的顶级开源软件公司，为诸多重要IT技术如操作系统、存储、中间件、虚拟化和云计算提供关键任务的软件与服务。 据研究人员介绍称，存在这种漏洞的原因在于现代CPU中包含很多寄存器（内部存储器），来代表每个正在运行的应用程序的状态。从一个应用程序切换到另一个应用程序时，保存和恢复这种状态需要花费时间。为了实现性能优化，这一过程可能会以“Lazy”的方式完成，而正是这种旨在方便用户的操作，却沦为了攻击切入口。 也就是说，如果操作系统在上下文切换时，使用了 CPU 的 Lazy FP 功能进行系统状态的保存与恢复，攻击者可以利用CPU的预测执行功能获取其他进程在寄存器中保存的数据。 对于一些操作系统而言，修复程序已经包含其中。例如，Red Hat Enterprise Linux（RHEL）7已经在所有最新实现“XSAVEOPT”扩展的x86-64微处理器（大约2012年和更晚版本）上自动默认使用 Eager FP 取代 Lazy FP。因此，大多数RHEL 7用户将不需要采取任何纠正措施，但是，RHEL 5、6版本的用户则需要对其服务器进行修复。 其他被认为是安全的操作系统还包括，使用2016年发布的Linux 4.9或更新内核的任何Linux版本。目前，Linux内核开发人员正在修补较早版本的内核；大多数Windows版本（包括Server 2016和Windows 10）也都被认为是安全的。但是，如果您仍在使用Windows Server 2008，那么你将需要补丁程序来修复该漏洞；最新版本的OpenBSD和DragonflyBSD同样是免疫的，此外，FreeBSD中也有一个可用的补丁程序。 好消息是，这个漏洞影响有限，因为尽管该漏洞十分严重，但是利用起来比较困难，而且修复起来比较容易。更好的消息是，修复该漏洞的程序不会像以前一样影响设备性能，反而会提升设备性能。 不过，尽管它不是一个很可怕的安全漏洞，但它仍然是一个现实存在的安全问题，如果您的系统不能对该漏洞免疫，请尽管进行修复。最后，值得一提的是，与以前的CPU安全漏洞不同，缓解该安全漏洞并不需要微码更新。

5 月下旬，有安全研究人员发现谷歌 Chrome 中存在严重漏洞，影响所有主要操作系统（包括 Windows，Mac 和 Linux）的网页浏览软件。 在没有透露有关该漏洞任何技术细节的情况下，Chrome安全团队在本周三（6月6日）发布的一篇博客文章中指出，该漏洞被追踪为CVE-2018-6148，是由于浏览器错误处理CSP响应头导致的。 CSP，英文全称Content Security Policy，指的是内容安全策略。

Telspace Systems 公司的研究员发现微软的 Windows JScript 组件存在重要漏洞，可导致远程攻击者在用户电脑上执行恶意代码。 由于该漏洞影响 JScript 组件（微软自定义的 JavaScript 执行），唯一的条件就是攻击者必须诱骗用户访问一个恶意网页或者在系统上下载并打开恶意 JS 文件（一般经由 Windows Script Host-wscript.exe 执行）。

微软最近宣布了一项政策更新，将限制在Office 365中使用Flash，Shockwave和Silverlight控件。正如微软Office安全工程团队经理Tom Gallagher所指出的那样，这些内容将被阻止在Office中激活。 具体来说，这位软件巨头表示，由于Flash，Shockwave和Silverlight仍被用于针对Office用户的漏洞活动，同时这些控件的用户群正在缩小，因此将实施限制。

2018年5月9日Google发布了Chrome 66稳定版维护更新，最新版本号为v66.0.3359.170，目前已经面向Linux、Mac和Windows三大平台开放，重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞，包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。

Linux 发行系统 Debian 和 Ubuntu 中预装的 beep 包存在竞争条件漏洞，黑客可利用这个漏洞探测到计算机中的文件（包括 root 用户的机密文件）。 这个漏洞的编号是 CVE-2018-0492，已在 Debian 和 Ubuntu （基于 Debian 的操作系统）最新版本中修复。

近期，巴西网站 Mac Magazine 曝光了 Siri 的一个隐私 bug，“即 iPhone 处于锁屏状态下唤出 Siri，Siri 竟然能够在未解锁的前提下，直接读出收到消息的通知详情。” 我们知道，为了避免被别人偷窥隐私，从iOS 11开始，用户可以将锁屏上的消息通知设置为隐藏，也就是说可以看到已经收到消息，但其内容已被隐藏。