aspcms基本的安全策略

最近发现放在服务器上的使用aspcms做的网站被上传了一些莫名其妙的文件，于是我就把他们给删除了，后来发现还会被上传那些文件，于是就做了一个简单的安全措施观望一下，如有建议请留言。
首先我直接访问后门文件（其实有点担心出问题，不过应该没什么事），出现的界面

改文件可以任意修改我的文件，太可怕了，原来我之前都是权限全开的。必须做一些安全措施。
1、设置权限：右键网站的文件夹，选取“属性”->”安全”,分别添加IUSR和IIS_USRS权限。


2、进入文件目录，将需要写入权限的文件设置一下权限，即把IUSR和IIS_USRS设置为可写。
3、进入iis，选中已经放宽权限的文件夹，将它们设置成脚本不可执行。



这时文件夹里会生成一个web.config文件
4、为了更加安全一些，可以把上述的web.config文件设置成不可读不可写。
5、最近挂马比较严重，希望大家指教一下。