一、检查服务器操作系统版本，升级至Windows Server 2016或更高版本的服务器操作系统，并安装所有Windows的安全更新。

二、检查数据库软件版本，升级至SQL Server 2016或更高版本的数据库软件。

三、按照《动易系统安全部署和配置手册》，检查网站文件目录权限，保证各目录按最小权限配置。

四、设置Global.asax文件权限，拒绝应用程序池线程账户的写入权限，如下图所示：

五、在 后台管理 >> 系统设置 >> 网站配置 >> 网站参数配置 中启用强密码策略，启用后台管理认证码，同时检查后台管理目录、后台管理认证码、升级验证码、管理员密码哈希值，保证这些配置参数不为系统的默认值，互不相同，而且足够复杂并妥善保管，如下图所示：

六、服务器上安装安全防护软件并对网站目录进行全面扫描，查杀可能存在的病毒和木马文件。

七、在网站参数配置中启用强密码策略后，通知所有管理员(包括超级管理员和普通管理员)修改网站后台账号的密码，保证密码有足够的强度：密码不少于8位，密码必须包含小写英文、大写英文、数字、符号，而且数字不能为连续的数字组合、英文字母不能为有含义的英文单词、汉语拼音组合，以防止被恶意猜测命中，同时严格保管好网站后台的所有账密，防止外泄。网站负责人可通过 用户管理 >> 管理员管理 页面查看每个管理员的“上次修改密码时间”监督落实密码修改操作。对于锁定状态的管理员账户，若不再使用，请务必删除！如果因特殊原因不能删除的，请务必修改其密码，改成非常复杂的密码(20位长度大小写英文、数字、符号混合)，防止黑客利用SQL注入漏洞将“锁定状态且密码简单”的管理员解锁并提权为超级管理员后进入后台。

八、服务器上安装带防篡改保护功能的软件，如服务器安全狗(下载地址：)，并配置其禁止在网站目录和子目录下创建、删除、写入、执行这些类型的文件：asp|asa|aspx|asmx|ashx|axd|cdx|cer|php|php2|php3|php4|php5|php6|php7|php8|php9|shtml|shtm|stm|jsp|jspx|cgi|aspq|cshtm|rem|soap|vbhtm|vbhtml|trace|asax|bat|com|exe|ps1|vbs|cmd|log|reg|lng|ini|inf|cshtml|aspl|idc|pl|py，如下图所示：

只要服务器安全按照上述步骤操作(特别是按照《动易安全部署手册》中的有关说明进行配置好服务器权限)，就算产品仍有漏洞，也很难让黑客利用进而入侵网站得到WebShell权限。