前些天朋友的企业网站被攻击了，被人挂了木马、修改了首页。原因是他们的企业网站的程序不是自己开发的，而是使用别人开发的公用程序。本来使用这些公用程序应该不会有太多安全的问题，但如果因为使用公用程序而发生了这样网站被黑的事情，原因一是没有修改默认的一些参数和密码，二是或者专门从事做坏事的人熟悉这些公用程序的漏洞。一个公用程序的漏洞如果被做坏事的知道，他们会在网上搜索同样使用这个程序的站点来攻击、修改网页，来获得利益。

如何知道这些漏洞在哪里？一般只有程序开发者自己知道，或者用户在使用中无意中发现的漏洞，或者专门从事干坏事的人熟悉各种漏洞。如果不是程序的原作者，一般人想查找研究程序的漏洞并修补，是相当困难的。很多时候查找别人的程序中潜在的漏洞，比猜银行密码还要难很多倍。一旦被攻击了，也找不出原因。

为什么网页程序中总是会有漏洞？因为扩展名为PHP、ASP等类型的网页，自己本身就是可执行文件，任何一个扩展名为.php或.asp的文件，都可以执行、操作服务器上的任何文件，例如删除文件、修改文件等等。我们经常说“程序”，就是指可执行文件。例如一段遍历文件夹的删除程序，可以在1分钟内删除整个网站的所有文件，或者修改整个网站内所有的文件。由此可见，网站如果稍微有些致命的漏洞，就会被攻击。

是不是自己开发的网站会不安全，其实恰恰相反，自己开发的程序会更安全。因为不是使用公用程序，别人无法知道你开发的程序中的漏洞。

除了安全的问题，自己开发程序还有这些重要的优点：便于改进、功能的扩展。因为使用公用程序再进行开发，实际上相当困难，几乎是不可能的，要比自己从零开始开发要困难很多倍，付出的成本更多。

当然，如果是因为服务器安全的问题，不在本文的讨论之中。