问：如何保障网站管理员密码安全

答：攻击者获取到网站管理员密码可能有几种途径：1.通过暴力猜解 2.通过漏洞攻击获取权限后更改管理员密码 3.通过社会工程获得。对于暴力猜解，在构建网站时，需要选择强度较高的加密算法，选择密码时，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。在网站认证页面的也应该有抗暴力猜解的设计。对于通过漏洞获取权限的，需要定期检查服务器是否存在操作系统、服务、应用是否存在漏洞，及时安装补丁包，检测安全配置。对于通过社会工程泄露的，需要制定并执行安全准则，来控制密码的保存和传递的范围与流程。

问：通过网站日志是否可以准确分析出攻击全过程

答：网站日志可以记录所有用户在指定时间段内的所有操作。不论黑客采用何种攻击方式，在最后对网页文件进行篡改或添加网页木马的时候，都会利用已存在或者是新添加的帐号进行操作，所以这些操作也可以被网站日志系统所记录。从未被篡改和精简的网站日志系统中，有经验的用户可以分析出攻击的整个过程，但由于一般情况下，网站日志系统不存在独立的保障机制，攻击者可以在攻击完成后删除操作日志，这种情况下，将无法判断攻击者的所作所为。也就是说，网站日志在未被篡改的情况下，可以从中分析攻击过程，但如果被攻击者修改过，将无法实现全面分析。