JSP页面被插入恶意代码.如何防范?

服务器JSP页面被插入恶意代码。

做了如下设置：

1. 防火墙设置：关闭所有端口，只开放ssh、oracle监听、tomca端口。
2. 用户管理：禁用所有用户，只允许一个用户可以远程登录到服务器。
3. 网页管理：把经常被挂马网页的权限改为只读。
4. 实时监控：在工作期间经常浏览网站，如被挂马及时发现问题并解决。
5. 用户密码：三天修改一次远程登录、ftp、数据库用户密码。
6. 上传文件：确定上传文件不是木马程序，上传后更改为只读权限。

请教高人、还有没有别的防范措施了。。