谢谢邀请

租借服务器是阿里云的，一般是存在两个账号，控制台的账号，还有一个就是你在阿里云服务器上的操作系统的**账号。

所以要想完全不然让外包修改你的代码，原则上这两个账号的**都要修改，并且在**上增加一个手机验证的功能，就可以了。

希望能帮到你

在购买云服务器的时候，会提供两个**：控制台的**，可以直接在阿里云的控制管理平台登录，这个帐号**的权限最大；云服务器上的操作系统帐号**。

如果外包人员帮助你们部署在云服务器，还有FTP服务器的帐号**、应用系统即网站的后台管理**。

为了安全起见，在部署完成后，

1、修改常用的SSH、FTP等协议的端口，把相关的**都修改。

2、登录阿里云的控制平台，建立安全组，**登录服务器的IP地址等

如果外包想要留一手，可以直接在代码中留后门，改**也没用。但是大家都要讲诚信，外包不在万不得已也不会动客户的网站吧！

本人也是从网站编程转到电商行业的，谈谈自己的一点看法。可以明确的是如果阿里云是有你们自己保管最高修改一下**，不要告诉外人，这个很重要。但是网站的代码要看具体的情况在确定是修改还是不要动。

第一、如果网站的功能无法满足你们公司的要求而且跟服务商的合同已经到期，那么你们可以自己去修改满足你们自己的业务。如果服务商在合同期内也可以让他们去修改，收不收费就看你们当时的合同了。

第二、如果网站的功能可以满足你们的要求其实也没有修改的必要了。毕竟修改都是需要花费钱的。除非服务商给你做的网站架构很差，很多功能没有。那就只能去修改了。不是说外包的网站代码就不能修改，而是要看修改那一部分的代码了。像后台的代码最好不要修改，除非你精通代码，否则容易改的网站的功能无法实现。

说一个我自己亲身经历过的案子，在2014年的时候当时我已经踏入电**几年了，已经不想再接网站的活了，一般网站要的都是非常急的需要通宵赶制。当时一个朋友想做一个企业网站做SEO优化，当时是在没法推脱下答应了，通过一周的赶制做完了（因为后台都是现成的，只需要修改一部分内容和做好前台就可以了）。交给朋友之后他们公司的有一个半吊子变**员，说这里不合适哪里合适然后就是自己一顿瞎改。网站没有办法用了，后台的能多功能让他给改费了。最好朋友也不得已只能找我修复，看在朋友面子上也不好说什么，只好硬着头皮修修复，当时修复花了挺长时间的，需要不断的去看代码修改（因为我有个习惯做完上传服务器都会把原来的删除，没有原版了）。

因为刚做不久修改也不好意思在张口要钱，只能白做。朋友给钱我也不好意思在收，但是心里的不爽也不好表现出来。

所以如果你不是精通代码最好不要修改后台的内容，或者修改之前最好备份一下。避免网站无法使用。

可修改阿里云服务器远程登录**

还可以修改:

网站后台系统登录**

网站数据库**(但改了这个**，要相应修改网站程序配置文件否则网站就打不开了)

FTP**(如果配置)

修改**最主要作用是:

**集中由自己管理

避免外包方人员误操作

或**泄露引起意外。

但是，若外包方要恶意修改破坏，那你防不住啊。外包方作为你****者，也是后续网站运行的义务或潜在保障者，一般来说他们不可能监守自盗。

如果你们真的没有一丝信任基础，那我看还是赶紧把网站内容拷贝保存然后再找个服务商重新***比较踏实。

这个问题看着简单但是实际涉及多个方面，详情如下。

1.你的网站本来都是外包人员开发，你如何保障他没有留后门进行其它操作?

对于不懂技术的人实际上是很容易被技术人员忽悠的，但是我相信大多数技术人员还是心存善意。不会恶意留后门什么的。但是从安全的角度来看，技术人员本身的安全问题必须去考虑。有时网站本身的漏洞，一样可以导致服务器权限本人获取。所以你如果确实对给你外包的人员很是担心，建议还是找专门的安全人员进行检测和确认，并完善网站安全措施。

2.是否已修改了阿里云ECS**？

修改阿里云ECS**的时候最好确认下当前存在的用户有哪些，如果并非自己创建的用户最好禁用。其次是把使用中的账号**修改一下，修改的时候建议使用较为复杂的“字母+数字+特殊字符”的组合。

3.是否已确认阿里云的ECS无证书访问？

如果你的服务器是linux的，除了修改账号**之外还需要确认一下是否有设置通过证书直接登录。如果有建议删除，或重新生成一个证书。

4.是否已修改阿里云管理后台账号**？

阿里本身提供了很多安全机制以避免有人登录后台后可以直接访问ECS，数据库等资源。但是如果后台之前有访问过数据库资源，或者操作重启等是没有二次认证的。因此后台账号**如果泄露一样可以被人恶意利用。

5.是否已禁用阿里云子账号？

阿里云有建立子账号的功能，子账号权限可以进行分配。你如果授权给外包人员维护你的网站时，你可以建立一个子账户提供给对方使用，并不需要把主账号提供给对方且还可以**对方的资源访问权限。在对方使用完成之后直接禁用子账号即可。

6.是否有禁用阿里云的AccessKey?

阿里云给每一个账号都分配有一个accesskey,其使用方式是通过阿里云api对云资源进行访问操作。其操作权限和其对应的账号权限是一样的。但是accesskey的作用很容易本人给忽视，进而导致服务器被人给操作。如果accesskey泄露后，需要在后台及时更改accesskey以免造成更大的损失。

小结：以上操作可能不能百分之百保证你的网站是安全的，但是他可以大大的提升你网站的安全性。我是【猎人】，欢迎关注。如果有技术咨询需要，可联系我帮您处理。

大家好，我是老李，谢谢你邀请我回答自己领域相关专业问题！

首先给你个肯定答案，只修改阿里云**肯定不行

为什么这样说呢，听老李来给你详细的解答下

阿里云**只是管理服务器重启等一些简单操作的**，这个首先肯定要修改，但不是修改了这个**就万无一失了。

网站还有后台管理**，这个和阿里云**不是一样的功能，所以这个**必须修改，不修改就可以**后台任意删除网站内容。

再有就是FTP**，这个是用来上传下载网站内容的，这个也必须修改，不修改就可以用FTP**服务器删除服务器上所有的东西。

还有就是网站可能被人家留有后门，这样不管你修改了所有的**，人家还会一样**，这个才是最麻烦的，建议你找专业人员给你检查网站是否有后门。

专业的人士，给你专业的解答，希望对你有帮助！大家可以关注老李，看更多电脑、安防相关**教程！

源码不提供给你，后续就等着被割韭菜，网站现在基本不用外包，直接下载cms系统自己撸就可以，比如pageadmin、帝国cms、phpcms这些专门用来***的。

我可以很明确的说，仅仅修改阿里云的**远远不够的，主要原因：

1、网站漏洞

网站外包，要看外包对象是谁，如果是正规的外包公司，而且是走正式的合同情况下，一般外包人员是不敢轻易设置漏洞的。

但如果是不靠谱的外包，那很可能就存在风险了，直接在你代码里留个后台，随时都能让你奔溃。

2、如何保护网站

首先，要具备代码走查的能力，哪怕找工具扫描扫描，或者直接找懂的人看看有没有问题；

其次，阿里云**要设置的足够复杂；

再次，本人网站经常受攻击，但是采取的最有效的方案，就是把服务器上相关代码文件写权限全部给禁用了，这样哪怕是有楼道，也很难修改你的网站代码。

1.首先既然选择了外包公司，应该你们建立了信任，如果不信任肯定也不会合作

2.其次外包团队一般接的单，比较多，项目经理应该是有职业操守的，他们连这点都做不到，以后就别在圈里混了。

3. 为了以防万一项目移交后，还是把网站后台**、数据库账号**、运维平台**，阿里云服务器**统统改一遍，尽量**改复杂点，防止****；

以上几点如果你做到了，一般都问题不大，除非黑客高手黑你，或者外包团队之前故意留后门（就跟美国**一样，咱们的电脑硬件在出厂的时候就自己植入木马了，防不胜防啊）之前科研机构怕优盘不安全，打算刻光盘，谁曾想到刻录软件是美国人开发的，你刻录过程中已经被植入木马了 哎，不说了 扯远了。