Category Archive: 网站安全

六月 17th, 2020

数据安全是一个不容轻视的话题。最近一项针对7500名消费者的调查中,80%的受访者表示,丢失银行和金融信息是他们最担心的数据安全问题。并且这不是人们害怕丢失的唯一类型的信息!

正因为如此,安全标准和法规已经走到了数据安全领域的前沿。GDPR就是这样一个法规。它会影响在欧盟(EU)内运营,或者在欧盟外运营但与欧盟居民开展业务的公司。

本文将讨论什么是GDPR,解释它适用于谁,并建议一些WordPress网站的插件来帮助遵守GDPR法规。该法规的出台是为了确保服务于欧盟的网站是安全的,并遵循必要的数据隐私泄露协议。

如果GDPR法规也适用于自己,强烈建议研究一下这些插件。忽视GDPR法规可能导致企业被罚款,或者更糟的是,网站被黑客入侵进而失去消费者的信任!

什么是GDPR?

GDPR是General Data Protection Regulation(通用数据保护条例)的缩写。它是一项适用于在欧盟运营的公司的政府法规,旨在保护欧盟境内的所有线上消费者,以及任何在网上分享个人数据的欧盟居民。

GDPR也适用于在欧盟外运营的公司,前提是他们必须存储或处理与欧盟居民相关的信息。

主要目的是为了保护欧盟境内消费者的隐私。例如,如果在美国或加拿大拥有一家小企业,向欧盟的消费者销售产品或服务,网站必须符合GDPR的要求。

消费者的个人数据包含广泛的信息,GDPR在这方面的规定非常全面。任何可用于追踪个人身份的信息都被认为是个人数据。这包括个人的姓名、地址、照片、IP地址,甚至生物识别或基因数据。

GDPR的出台,是由于消费者对公司如何处理个人信息越来越缺乏信任。公司可以在未经消费者许可的情况下,将个人数据用于广告或营销以及其他各种目的。这就造成了不公平的关系。

GDPR旨在通过赋予消费者更多的所有权和对其个人数据的控制权来增强消费者的权力。它的出台,是为了替代效果不佳且过时的数据保护指令。

由于该法规是新出台的,所以给了企业一些时间来符合GDPR,但当局希望相关网站在2018年5月25日之前完成检查。如果GDPR适用于自己的在线业务,而且还没有处理好,应该立即去处理!

GDPR如何工作?

GDPR将所有与个人数据相关的安全合规要求都纳入一个监管机构。它涵盖了企业与欧盟居民打交道时需要了解的一切,以及他们需要遵守的所有规则。这使得企业主更容易遵守规则,并采取必要的措施保护客户隐私。

对于消费者而言,GDPR意味着对个人信息的控制程度更高。现在人们有权力和自由来索取相关公司收集的个人数据的详细信息,并且他们可以选择退出公司的数据库。这意味着,消费者可以退出公司的数据库,同时自己的信息不会被任意使用或处理。

GDPR适用于数据控制者和数据处理者。数据控制者是指收集和拥有数据的公司或组织,而数据处理者可以是应数据控制者要求处理收集到的数据的第三方公司。两者都必须遵守GDPR规则。

公司必须立即向GDPR相关机构报告任何违反隐私的行为。这意味着,如果网站被黑客入侵,必须在72小时内通知主管部门和受影响的网站访问者。

该标准旨在使企业承担起责任,并鼓励他们以最谨慎的态度对待消费者的数据。它还通过提供防止其个人数据被滥用的方法来增强消费者的能力。

为什么要认真对待GDPR?

不遵守GDPR可能会面临严重的后果。违反GDPR可能会导致高达2000万欧或公司全球营业额的4%的罚款。对于一些公司来说,这可能意味着数十亿欧元或美元的罚款!

罚款取决于隐私泄露的严重程度和规模,以及数据控制者或数据处理者是否采取了必要措施来遵守GDPR。

上面提到了最高罚款额度,但也可能面临所谓的1000万欧元或全球营业额的2%的较低罚款。这些罚款针对未报告数据泄露的情况,以及其他较小问题,比如说没有任命数据保护官员等。

不能忽视消费者数据保护的重要性。隐私问题正在成为各种规模的线上企业的首要任务。如果像Facebook这样的老牌互联网公司也能够面临GDPR监管机构的愤怒,就知道GDPR违规有多严重!

GDPR合规性的投资不仅明智,而且必须。

既然已经解释了GDPR合规性有多严格,是时候看一些可以提供帮助的工具了。有许多GDPR插件可以为保护消费者数据打下基础。

五大GDPR插件

本节将为介绍五款适合WordPress网站的GDPR插件。它们都具有保护消费者数据和隐私的功能。

GDPR Visitor Consent

Pixel Jar 创建了GDPR Visitor Consent,让网站所有者控制他们用来请求个人信息的脚本。如果不懂技术,脚本是一种在网站上自动执行特定任务的编码程序。

可能会有一个脚本,它首先捕获用户浏览网站的某个部分,然后显示请求用户信息的弹窗。

网站上安装这个插件,有助于在合适的时间和地点,以符合GDPR的方式,请求允许收集用户的个人信息。只有在征得访问者的许可后,才可以收集和处理个人数据,因此,以与自己业务完全相关的方式,战略性地请求许可绝对重要。

如果网站使用cookie跟踪用户,必须征得他们的许可。网站上运行任何用于营销或分析目的的编码脚本,都需要得到用户的许可。无论是与他们建立信任关系还是符合GDPR法规,获得网站访问者对数据收集的许可都非常重要。

这个插件的优点在于,它可以根据用户给予的特定许可,为用户创建符合GDPR的浏览体验。对于每个独立的网站访问者,只能运行已经获得用户许可的脚本。

GDPR Cookie Consent

Cookie Law Info创建了这个插件,帮助网站符合GDPR的cookie使用要求。Cookie 是用户的浏览器和网络服务器之间传输的信息。大多数公司使用cookie来分配独特的用户ID,因此当用户返回网站时,他们将根据自己的浏览记录获得更加个性化的体验。

使用GDPR Cookie Consent插件可以轻松显示cookie许可栏的横幅,管理cookie细节,并让用户对收集个人数据的cookie有更多的控制权。

这个插件的一个很大特点是,它与许多流行的多语言插件兼容。许可栏的语言会根据模板所选语言而改变。这样,就可以为来自不同国家的访问者提供更多的个性化体验。

高级版的Cookie Consent插件还可以:

  • 自动扫描网站cookie。
  • 阻止数据收集脚本,直到用户许可为止。
  • 仅对欧盟国家的访问者显示许可栏。
  • 对cookie进行分类,让用户对他们许可的内容进行细化控制。
  • 对用户的许可进行审核。
  • 撤回许可。
  • 创建各种自定义的许可栏设计。
  • 为用户进行cookie审计,让用户了解所使用的cookie及其目的。
  • 审核获得的所有许可。

Cookiebot

这是一个与cookie相关的更加全面的GDPR插件,由Cybot创建。它的一些优点包括:

  • 能够自定义许可横幅,允许用户选择加入或退出特定的cookie类别。
  • 围绕cookie政策的更多透明度,让用户知道他们的个人数据是如何被收集的。
  • 每月运行一次扫描,关注什么样的数据在被追踪以及数据被发送到哪里。这有助于网站所有者了解哪些cookie在处理用户特定的敏感数据。
  • 允许用户轻松更改或撤销许可。
  • 可翻译成44种语言的许可信息。
  • 用户许可记录存储在云端,确保在需要的时候可以随时访问。
  • 值得注意的是,安装此插件并不能确保百分百符合GDPR的要求。仍然需要解决非cookie相关的因素来保护用户数据。

WP GDPR

这是由App Saloon提供的一个伟大插件。WP GDPR使数据的真正所有者——用户——能够访问个人数据!

网站访问者可以发送请求,以查看所收集的个人数据的详细信息。后台会收到来自用户的请求列表,如下所示:

可以通过邮件报告来回复用户的请求,详细说明所收集的个人数据。

WP GDPR与其他插件互动,可以揭秘所有正在收集的个人信息,无论是哪个插件在收集。这样就可以向请求查看网站所收集信息的用户提供详细内容。

All In One GDPR WordPress 插件

如果不愿意使用多个插件来确保符合GDPR规则,这个插件可能是所需的全能解决方案。

All In One GDPR WordPress插件的功能远远超出了基本的用户许可功能。它允许在GDPR要求的72小时内向用户发送隐私泄露通知。它还可以让用户从数据库中删除他们的个人信息,联系公司的数据隐私官,取消订阅简讯,并要求导出用户数据。

这个插件还兼容其他插件,如WooCommerce, Contact Form 7, 和MailChimp。基本上,可以认为这个插件是实现广泛的GDPR合规性的一站式服务。

符合GDPR法规并保持

已经知道了一些可以帮助符合GDPR法规的插件,请继续并安装自己需要的插件。还应该跟踪GDPR的变化,可能需要改变方法和插件,以满足新的规定。

最好的办法是安装由开发者经常更新的插件。保持WordPress网站立即下载并安装插件的更新,网站将始终符合最新的数据保护法。更多相关的内容可以阅读WordPress插件和WordPress主题的危险性

四月 8th, 2020

近几年以来,黑客的攻击技术逐步增强。网站被黑客攻击是一件常见的事,已经见怪不怪了。如果黑客进入你的电脑,没有盗取网站你的信息和网站数据,说明还是安全的,只需把网站后台密码设置复杂一点就好了。

虚拟主机的作用一般都是连接站点、储存网页等等,方便用户浏览网页。与服务器相比,它的优势是比较突出的。

网站被攻击,从侧面反映出你的网站问题比较多,需要完善一下。如果你的网站做的完美,是不会遭到攻击的。在搭建网站时,应该多思考,尽量选择安全性比较高的虚拟主机,这样网站后期才能有保障。下面小编给大家说一下虚拟主机如何防止黑客攻击呢,希望能够帮助到大家。

1、设置复杂一点的密码,这个密码指网站后台的登录密码、邮箱密码、数据库密码、FTP密码等等。建议字母加数字的组合,最好长一点,第一个字母需要大写。这样不容易被攻击。在浏览器登录时,会提示保存密码,建议不要保存在浏览器上,给黑客提供方法呢。最后一点,也是重要的一点,记得保存好自己的临时文件,及时清空浏览记录。

2. 网站后台的版本要记得更新到最新版本,老版本存在很多的漏洞。容易被黑客在上面做手脚,你又不能及时发现。

3. 网站后台除了输入复杂的密码之外,还可以添加验证码,这样安全系数要高一点。最近的黑客挺暴力的,一言不合就暴力破解。

以上就是虚拟主机防止黑客攻击的几个方法,如果在实际操作中遇到这种情况,就可以运用上面的方法解决问题了,还能锻炼大家动手的能力。要想避免上述问题的发生,建议大家选择口碑好、可靠性高、速度快的虚拟主机,不用担心太多问题,线上购买之后,立即开通使用,提高了建站的效率呢。想知道更多的内容可以阅读小型企业应该如何提高网络安全?

十二月 11th, 2019

在如今的商业世界中,如果想要保持竞争力,那么将中小企业连接到互联网至关重要。上网是接触潜在客户的最佳方法,但同时也有陷阱。网络犯罪是非常现实的威胁,它有可能对业务造成严重破坏,并带来灾难性后果。那么有哪些常见的网络威胁呢?

恶意软件

恶意软件结合了“恶意”和“软件”两个词,不幸的是,它们代表了中小企业需要关注的相当大的安全威胁类别。

恶意软件可被视为在计算机或网络上安装后会造成负面影响的任何软件。影响可能是文件被删除,或者计算机向通讯录中的人发送了数百封电子邮件。恶意软件可以是病毒、蠕虫或特洛伊木马,也可以是勒索软件、间谍软件、广告软件或恐吓软件。

幸运的是,通过遵循经验以及不打开任何可疑附件,可以避免这些威胁。提高安全意识的用户培训是避免恶意软件的最有效方法之一,因此,无论公司多小,都应考虑在企业中实施类似的工作。

网络钓鱼

网络钓鱼似乎永远不会消失。网络罪犯使用这种策略来窃取密码和账户信息。网络钓鱼涉及电子邮件,攻击者会将其用作陷阱的传递机制。该电子邮件似乎来自可信赖的来源,例如主机提供商,并且可能会要求提供详细的登录信息。

更常见的是,网络钓鱼电子邮件会包含看似合法的链接。电子邮件会提示点击链接,以便把登录账户或输入密码作为密码重置过程的一部分。

然而真正发生的是,链接重定向到一个与真实网站非常相似的网址,它是在攻击者的服务器上托管的虚假内容。罪犯能够读取输入其网络表单中的用户名和密码信息。然后,攻击者登录账户并进行接管。如果是网络托管账户,他们可以重定向网站、访问敏感数据或采取他们选择的任何恶意步骤。

社交工程学

社交工程学很难被发现,因为犯罪者通常很有说服力。它以多种形式出现,但是最常见的版本是通过电话甚至有时是亲自进行的。呼叫者通过假扮知名技术公司的客服人员来赢得信任。罪犯的目的是说服别人透露用户名和密码。

有时,社交工程攻击会涉及一些指令,这些指令会让人不知不觉地在计算机上安装恶意软件。一旦发生这种情况,计算机就可以在网络上传播病毒和恶意软件,并使其他用户处于危险之中。

黑客攻击

当罪犯闯入网站以造成伤害时,黑客攻击是另一个非常广泛的名词,尽管它不如一些其他安全威胁那么普遍。是的,确实会发生黑客攻击,但是病毒和恶意软件感染的实例大大超过了黑客攻击。黑客可能出于恶意或贪婪的动机,在进入系统时通常具有相当的破坏力。

分布式阻断服务(DDoS)

对于依赖网络服务进行运转的小企业来说,DDoS攻击非常可怕。当多个主机向网站发送大量虚假请求时,就会发生这种类型的攻击。网站服务器需要响应的请求突然激增,使系统不堪重负并导致脱机,从而使网站崩溃。

十一月 25th, 2019

在维持在线状态方面,安全并非我们一直考虑到的问题,但是如今绝对值得考虑。网站黑客和网络攻击一直在发生,而几乎所有这些都是可以预防的。

本文将介绍如何保护网站安全,并且无需雇用安全专家来做到这一点。有一些可遵循的基本步骤操作,这有助于使网站更加安全,被成功攻击的可能性也大大降低。

本文将从基础知识开始,然后逐步发展到更高级的安全措施,但是所有这些步骤都很容易实现。

制作网站审核清单

每当执行一项艰巨的任务时,制作清单都是一个好主意,确保网站安全的任务也不例外。本文中的每条建议都是网站安全检查表中的一项。创建清单之后,每次在网站上执行安全审核时,该清单都可以作为指南。

不必在每次评估网站安全性时都进行深入审核,但是建议网站第一次审核时要做得尽可能彻底。

接下来一起看一看网站安全审核清单中应该包括哪些内容。

从一些基本的CMS设置开始

内容管理系统(CMS)是网站的心脏。通过其登录门户,可以对网站进行任何操作,包括发布和删除内容以及使网站脱机。肯定不希望未经授权的用户在这里登录,因此这是开始实施安全措施的合理位置。

以下是首先需要检查的一些最重要的事情。

用户设置:这是一个很重要的问题。如果在CMS平台上启用了不需要的用户,最好禁用他们。如果存在任何默认用户名(例如管理员账户),必须确保更改了默认密码。

除了设置一个高强度密码之外,最好将管理员账户的用户名更改为容易记住的用户名,例如自己名字的变体,这很难猜测。这样,默认登录名将变得无用,并且管理员用户名和密码都将难以被黑客猜到。

评论设置:需要注意网站正在处理的用户输入。建议不要让匿名用户访问网站上的评论,因为对自己的行为不负责任的人发布的评论通常少于恭维的评论。Bot(网上机器人)是另一个问题,因为黑客借助于Bot可使评论部分垃圾泛滥。

信息的一般可见性:不应该公开网站后端的任何信息。攻击者会尝试探测所安装的程序,以找到可用来攻击站点的媒介和工具。

甚至知道正运行的软件和插件的版本,也可以为攻击者提供帮助。一般的经验是,不要让任何人看到除了提供给用户的内容以外的任何内容。

输入验证:网站上任何接受用户输入的地方都需要进行像样的输入验证。即过滤或禁止输入特定字符和键入的任何内容。SQL(结构查询语言)注入攻击可以通过添加特殊字符的方式来欺骗系统以执行SQL查询。

这样会欺骗网站运行自认为经过验证的用户的查询。更新CMS通常会阻止这种攻击,但是,如果使用任何自定义的网络应用程序或插件,则需要了解当前的每个安全隐患。

查看权限是如何定义的

仔细管理网站的文件和文件夹权限对网站安全至关重要。每当需要更新网站上的内容时,网络服务器都会验证尝试进行更改的用户访问权限。如果该用户具有访问和相关的权限,则可以进行更改。这就是前面所提到的用户设置如此重要的原因。运行用户权限审核时,可以设置文件访问权限,用户访问权限等。

需要注意的主要权限设置为:

用户权限:CMS中设置的每个用户都需要具有特定的属性和权限。在信息安全领域,有一种原则被称为“最小特权”,它对于这类设置特别有用。

普通用户只能访问网站上能增强其体验的内容,这很有意义,因为该网站是为他们准备的。只有授权用户才有权进行任何更改。

所有者,组或公共:管理用户意味着需要对他们进行分类并将其纳入适当的组中。为每个组提供不同的访问级别。所有者具有网站内容的读写权限,这意味着他们可以随意创建和删除文件。公共访问通常被锁定,并且只允许读取。

读取,写入或执行:这些是文件权限,它们决定文件是否可以被打开、读取或更改。如果用户具有执行权限,则他们能够安装应用程序和插件。普通用户不应该具有此级别的访问。

遵循CMS实践

如果要管理自己的网站,则应该熟悉特定的CMS实践。每个CMS(例如WordPress或Joomla)都会在其网站上列出发行说明和建议,因此请务必定期检查。

以下是一些常识性项目,但可能没有意识到要检查它们。可将这些项目添加到清单中,有助于确保CMS已锁定并安全。

确保CMS已更新:这听起来相当简单,尤其是因为大多数CMS安装会在有可用更新时给出通知。但是,并非每个人都将CMS更新的安装分配为最高优先级,因此,实时的网站可能会在后端运行过时的CMS。

升级CMS可能引发对插件和应用程序兼容性的担忧,这就是为什么更新任务经常被推迟,但这不是让CMS过时的充分理由。

确保插件已更新:如果插件开发人员在其最新更新中标识了与网站安全相关的任何修补程序,则需要尽快更新这些插件。

安装一些安全性插件:很多很棒的插件都有助于保护网站。从入侵检测到用于处理安全监视和警报的工具,一切都可以安装在网站上,这些东西可以使它变得更加安全。

创建一个测试环境:如果不太确定新的更新,最好先进行测试。备份网站,并将其还原到本地PC上。然后,就可以测试网站的所有功能,而不会中断网站的使用。如果更新后的一切都没有问题,则可以继续将更新应用于实时的网站。

每次重大变更之前备份网站:如果在安全审核过程中需要更新网站的任何关键元素,确保在此过程中的每一步都创建了网站的备份。这样以后发现任何奇怪的行为,至少拥有网站更新之前每个状态的完整备份。

想想“ACB”——始终创建备份!

如果说有任何可以料想到的事情,那会是忘记备份的时候就是需要从头构建的时候。通过经常备份数据来避免这种情况是明智的。

有多种方式可用来备份网站以及支持网站正常运行所需的支撑数据库和文件。在制定定期备份网站的计划时,以下是需考虑的最重要因素。

具有多种备份位置和方法:如果进行了备份但没从网络服务器中下载备份,则当该网络服务器发生故障,就会无法恢复网站。使用大型提供商时,虽然它们可能具有用以保护网站的冗余和大规模灾难恢复功能,但是问题确实会发生。地震、洪涝、风暴和其他自然灾害有可能破坏基础设施和数据中心。

确保将备份保存在其它安全的地方,例如CD或闪存驱动器之类的物理介质。云提供商也提供了一个安全的位置来存储数据,但是同样,总有可能中断导致无法访问云服务。

自动执行和计划备份:没有人愿意执行备份,因为这很麻烦。幸运的是,可以通过多种方式来设置自动备份。可以直接将一些商业产品和插件安装到CMS中,或者如果有相应的时间和技能,还可以编写自己的脚本。

为失败做准备:

任何成功的信息安全策略的关键是,认为似乎不仅可能发生负面事件,而且可以肯定。以这种方式思考,能为任何可能发生的事情做好计划。如果认为数据库可能会损坏,就备份它。如果认为CMS可能无法使用,就了解如何解锁账户。请记住在IT(信息科技)行业中,任何可能出错的地方都会出错。

定期测试备份:将备份还原到本地计算机的测试机上是一种好习惯,尤其是在更新CMS或网络服务器之前和之后。需要担心的最后一件事是备份崩溃或损坏时,阻止站点启动和重新运行。想了解更多的相关内容可以阅读虚拟主机上怎样对网站进行备份

更多安全清单项目

本文可继续讨论有关网站安全性的更多方面,但主要还是关注基础知识。在离开本文之前,以下是一些可能需要添加到安全审核工作清单中的项目。

禁用目录浏览:默认情况下是禁用的,但是有些事情会导致目录浏览被激活。定期将其放在检查清单中,以防更新时意外激活了该功能。根本不需要任何好奇的用户浏览网络服务器的文件结构。

禁用图像热链接:同样,大多数现代CMS程序包都会默认阻止此行为,但不时检查它以确保热链接未被启用也没有什么害处。图像热链接会吞噬网站宝贵的带宽和系统资源,因为这是在承担他人链接托管的开销。

安装SSL证书:在2019年,所有公共互联网通信都需要加密已成为必需。为了适当地屏蔽进出网站的数据,需要在网站上加载并注册SSL证书。大多数现代浏览器都会向访问者发送令人讨厌的有关网站缺少证书的消息,该证书能将此类消息赶走,因此应该考虑使用SSL。

使用密码的最佳做法:意图非法获得网站访问权限的攻击者将使用许多不同的攻击方法。如果他们设法访问某些系统信息,则他们可以对保存的哈希密码进行基于哈希的高级攻击。如果未设置最大登录限制,则黑客可以采用自动字典攻击或蛮力攻击。除了安全性插件之外,还应该对主要的管理员登录(实际上,对所有用户账户)使用双重身份验证。

使用SSH或安全文件传输协议(FTP):很多人没有意识到FTP是未加密的,因此,如果可以选择不使用FTP,那就不要使用。

安全审核是一项持续的任务,需要成为网站常规维护的一部分。记住,后续审核不必像初次审核那样彻底。审核清单是一个动态文档,应根据安全要求而变化。更多的相关内容可以阅读网站安全对网站SEO优化有哪些影响

十一月 6th, 2019

如果网站需要收集任何个人信息,如姓名、电子邮件地址等,或第三方应用程序,包括用于电子商务的应用程序,法律都要求制定隐私政策。而且,如果网站被发现违反了这项法律,谷歌和其他搜索引擎将会剥夺其排名,让网站无法出现在访客面前。分析公司需要它,信用卡公司需要它,社交媒体插件,几乎能想象的每个插件都需要它,所以忽略此项政策会让网站所有者寸步难行。

既然知道这是必须的,怎么制定呢?下面就让HostEase美国主机商来告诉你们吧。

隐私策略是一种让客户知道网站正在收集的数据类型以及将如何处理这些数据的条款。其内容包括:

  • 所收集信息的类型
  • 收集的目的
  • 如何使用数据
  • 存储数据的位置、安全系数如何以及该数据的访问权限
  • 一种让客户获得个人数据副本及是否同意网站收集的方法
  • 数据传输的详细信息
  • 所有附属网站或组织(包括通过网站或应用程序收集数据的第三方应用程序和插件)
  • 在站点上使用cookies

信息类型

收集的信息类型必须在隐私策略中详细列出。这包括姓名、电子邮件地址、信用卡信息(用于电子商务)及其他个人数据。

收集数据的目的

这就是解释保留信用卡信息的平台。处理和运输的“订单”、账户维护、客户服务、约定等都是收集数据的正当理由。

如何使用数据

网站所有者必须解释数据的用途。用户体验的个性化和定制、发送服务或支持消息、提供客户服务、允许访问服务等都是完美的例子。

存储、安全和访问

如果使用第三方工具,比如谷歌分析或者AdSense,需要事先声明,这样受众就知道还有谁能得到他们的信息。所有第三方数据共享的实例,应该包括指向那些第三方公司策略的链接。

选择退出选项

法律要求为正在进行的数据收集提供选择退出选项。如前所述,用户有权查看收集的有关他们的信息。法律允许他们获得这些信息。确保网站上的联系信息准确清晰。

附属第三方网站或组织

电子邮件服务提供商、社会媒体交互、谷歌分析、Google Adsense以及许多跟踪用户浏览行为的第三方服务都需要添加隐私策略。必须公开所有第三方数据采集器的详细信息。如前所述,必须按名称列出第三方组织,并列出他们收集的数据以及其用途。

总结

制定隐私政策,可以省去很多麻烦。如果想了解更多关于制定隐私政策的信息,Better Business Bureau会提供一个样本,联邦贸易委员会(FTC)会对隐私和安全进行细分,以保持网站的合法性。如果遵循他们的标准,就不会出错。同时HostEase提供了专门为WordPress网站设计的超高速托管,让网站运行得非常顺利。

十月 21st, 2019

如今网络安全越来越受到人们重视,欺诈手段也不断更新,使用得最多的方式还是网络钓鱼。通过巧妙的诱骗使个人或企业泄露敏感信息,有时甚至防不胜防。下面hostease美国主机小编就为大家介绍四种常见的网络欺诈手段。

一、虚假邮件

有时我们会收到一封看起来很正式的邮件,地址与官方账号很相像,不仔细辨认很难区分。这封邮件可能说:你的账号正在被人登录,请及时修改密码,或点击链接进行安全确认等。

如果用户点击了链接跳转到指定页面,很可能会看见账号的登录页面,但这个页面是虚假的,只是很难分辨出。但用这个页面登入了账号,那么,你的密码很可能已经泄露。

二、第三方内容注入

当使用公共wifi上网时,是否发现当时访问的网站出现了额外的广告或弹窗?而这些广告在平时是没有的。

这是因为有人通过攻击公共wifi,可以将自己的内容注入到这个网站,如果用户进行点击,很可能会上当受骗或泄露某些信息。

三、窃取

链接与链接之间,信息与信息的传输,都是攻击者能够窃取信息的时机,如果网站没有安全证书,电脑没有安全软件,那么某些不知名的链接最好不要轻易点击,否则你发送到网络上的东西很可能被拦截和窃取。

四、低价

一封邮件告诉你,你想要的商品正在低价促销,价格低到令人难以置信,可能大部分人能抵御诱惑,明白这是一个骗局,但还是有部分人会点击链接或直接进行购买。

欺诈者正是通过用户喜爱低价的心理,诱导点击链接或购买虚假产品,这是需要注意的。想知道怎么提高网站的安全的话可以阅读小型企业应该如何提高网络安全?

十月 17th, 2019

为了保证网站的数据安全,网站拥有者想出了很多办法来保护自己的网站,例如安装安全插件,使用强密码等。安装SSL证书无疑是其中的一个好方法。在客户与网站进行交互时,SSl证书可以将客户提供的信息进行加密,以避免被其他人盗取并查看到相关的信息。那么如何来安装并启用SSL证书呢?

1.首先需要在服务器中安装SSL证书。

SSL证书的种类多种多样,一般分为域名验证(DV)、组织验证(OV)、扩展验证(EV),而且SSL证书还有付费版和免费版两种,如果选择了付费的SSL证书,那么你可以联系它们的售后支持帮您继续进行安装,如果您使用的是免费的SSl证书,那么安装SSL证书的工作需要您来自己完成。当然您也可以上网搜索相关的教程来进行安装。

一般来说,如果安全性要求比较高,请选择付费版SSL证书,并且安全等级越高,价格也会越高。

2当我们把SSL证书成功的安装到了服务器后,并不代表我们访问网站会自动显示安全。这是因为网站访问的默认链接是http链接,而SSL证书是需要和https链接来配合使用的。所以还需要在网站中将链接修改为https.

WordPress网站中,我们可以通过进入到网站后台来直接修改https链接。进入WordPress后台,设置,将WordPress Address(URL)和Site Address(URL)全部修改成https即可。

或者我们可以通过修改.htaccess文件来实现跳转。通过控制面板或者FTP来在网站文件目录中找到.htraccess文件,将以下代码添加到该文件的最上方:

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.domain.com/$1 [R,L]

请注意,将最后一行的 www.domain.com修改成自己网站的域名即可,然后刷新一下页面即可。通常情况下,网站会自动跳转到https,并显示安全。更多相关内容可以访问Hostease美国服务器官网,推荐阅读 SSL与TLS在互联网上有哪些作用

TAGS:
八月 19th, 2019

安全意识始于企业创建之初;所雇用的每一个人、技术部署,甚至是与供应商的关系,都可以巩固企业地位或者使其面临风险。小企业常常是恶意攻击的目标,因为人们普遍认为它们容易妥协。尽早制定战略至关重要,这样就不会轻易被黑客定为攻击目标。Hostease美国服务器商可以为用户提供VPS主机和自动更新和备份,以确保网站安全。

创建安全策略

根据环境制定适当的政策并培训人员。虽然这看起来很简单,但社会工程是一种常用的愚弄那些不知情的人的工具。为什么呢?仅仅是因为它有效而且可靠。制定一项政策,将信息安全放在首位,并通过可靠人员传播信息,这是保护业务的第一道防线。

此时应该特别注意哪些方面呢?个人移动设备。它们通常是网络罪犯盗取敏感信息的第一站,必须在业务中采取适当的法规加以解决。

请记住:不更新的政策与根本没有政策一样糟糕。业务规章制度必须跟上时代的步伐,并在出现新威胁时进行调整。

保持房子整洁干净。简单地说,使用知名的最新安全软件、操作系统,并定期更新所有内容。特洛伊木马和其他恶意程序彻底击败了一些最昂贵的硬件安全解决方案。大力实施这些做法在很大程度上降低了这些攻击的风险。通过一个合理的政策维持网站的秩序,已经完成一半的安全设置了。

为正确的环境部署和使用正确的硬件。如果企业可以从外部访问互联网,则需要实施防火墙。防火墙是一种需要定期维护的硬件设备(有时是软件),但将不需要的流量保持在业务之外是绝对关键的。根据业务规模和范围的不同,防火墙可能很昂贵,配置和维护此硬件所需的人才也可能很昂贵,但这是值得的。

一些企业可能会发现,以大大降低的成本将此解决方案外包给专家服务提供商更为可行,而其他企业可能更喜欢对其安全实现进行绝对控制。这些好处很容易总结;部署自己的硬件允许无限的可配置性,而外包可以节省大量的时间和金钱。相关阅读<<<<网站一般被黑的种类有哪些

控制物理访问

简而言之:限制对服务器或计算机室的访问。大多数员工不需要在这些领域担任固定的工作,而且他们根本没有理由呆在那里。

任何非公开信息(NPI)必须通过高度可问责的访问例程来严格控制。考虑个人移动设备,以及如何使用它们来劫持有价值的NPI数据——不能仅仅因为认识或信任某个员工就放弃访问例程。

最后,考虑聘请一名安全顾问来审计业务。尽管尽了最大努力,但专家们在这个领域存在的原因有两个:

攻击的途径是广泛的,广阔的,不断变化的

无论是否经历过任何攻击,业务都将从定期审计中获益

它有助于确保未来的攻击不会成功

公众的信任是一场艰难的胜利,但一旦涉及到个人信息,就很容易丧失

未雨绸缪

安全顾问在游戏中处于领先地位,这样就没有自己成为专家的负担了。咨询师的费用和公众信心的成本是很容易计算出来的;只需要看看一些值得信赖的品牌的历史事迹,安全性不知何故被排除在了商业计划之外后,这些品牌很快就变得无关紧要了。

相关内容推荐:<<<<网络程序中哪些数据缺陷会影响到网络安全

八月 12th, 2019

星期五的早晨,起床后吃了顿温馨的早餐然后是该去上班的时候了。启动汽车,往公司驶区。然后路上在咖啡店停了下来,像往常一样去买咖啡并且查看wordpress主机资讯情况。当从咖啡店停车场出来的时候,感觉到车前轮上砰的一声。

迅速靠边停车,发现轮胎漏气了。惊慌失措的跑到车尾打开后备箱,寻找备用轮胎,结果却发现它被拿走了。然后记起家里人一周前把它带到轮胎店维修,可能忘了把它放回去。

轮胎没气了,不能开车去上班。现在该怎么办呢?拿起电话,试图给家里人打电话,但是就在听到第一声铃声时,电话就关机了。电池没电了。有些人可能会说,只是过了糟糕的一天,肯定会遇到一些挑战,但如果事先做好准备,把备用轮胎放回车里,在前一天晚上给手机充电的话,就不会出现这些问题了。或者,可能打电话叫优步,并且仍然能够按时投入工作!

网站需要备份吗?

其实网站也有可能发生类似的事情。有人可能会说,网站不可能有爆胎。没错,但如果不是爆胎,而是成功的网络钓鱼攻击,会发生什么呢?它和爆胎有同样的效果,但只是发生在网上。

没有人能够访问网站。看看上面的故事情节。当要获取“备用轮胎”或网站备份,发现它在同一台服务器上,并且在黑客攻击发生时被删除。

该怎么办呢?想坐下来给网页开发人员发送一条快速消息时,会意识到电子邮件也不见了!黑客接管了全部托管帐户。大多数时候,被黑客攻击并不是主机提供商的错。这是自己的问题,因为没有做好准备。这种情况与爆胎完全相同,但事实上,它比汽车爆胎的频率要高得多。

什么是网站备份?

网站备份是一张安全网,或网站的备用轮胎。它通常是所有网站文件的完整副本,如果有任何事情发生,可以轻松地恢复网站。

有些人认为,网站备份只是为了防止服务器发生问题。虽然这可能是部分原因,但网站备份确实是网站安全中最强大的工具,因为只有它才能在黑客或恶意软件感染发生后立刻恢复网站。

一些被攻击和黑客攻击的网站所有者,由于有了最近的备份,在短短几分钟内就可以恢复他们的网站,这都归功于wordpress主机

如何备份网站?

备份网站可能看起来很复杂,但有了新的备份管理器,可以使一个备份方式比改变轮胎更快,更容易!只需在帐户管理面板(AMP)中选择“备份管理器”,然后就可以设置网站备份的频率。

如果发生任何情况,还可以轻松恢复备份,甚至可以设置电子邮件通知,让网站所有者知道何时启用备份数据。

七月 30th, 2019

今天,将讨论WordPress网站的安全性,以及VPS主机等选项如何帮助网站保持其安全。令人难以置信的是,WordPress网站受到攻击的速度是每分钟九万次!如今要想在网上不受到攻击是不可能的,所以,需要尽可能地确保网站的安全。以下是几种不同的方法:

VPS主机的情况

首先需要做的事情之一就是查看主机托管状态。如果在共享主机上,那么网站与数百个其他网站位于同一服务器上。如果黑客破坏了其中一个站点,那么其他站点也会容易受到攻击。更好的选择是切换到虚拟专用服务器(VPS)。在这个托管平台中,服务器上的每个站点都被分配给服务器的一个单独的部分。这会在网站之间竖起一道高墙,使它们无法共享资源。这也意味着将站点与受感染或被黑客攻击的站点分离,这样它们就不会危及站点。推荐阅读 共享主机有哪些方面比VPS主机好。

更新

重要的事情说三遍:必须定期更新网站的所有内容。这包括站点本身和编辑站点的计算机。(主机公司应负责更新服务器的软件和操作系统)如果发现WordPress中存在缺陷或故障,他们将尽快发布补丁来纠正。如果不运行这些更新,相当于把网站开放给潜在的黑客。

 密码

另一种保护自己的方法是确保所有与网站相关的密码都是真正安全的,应该将输入登录密码次数设为最小值:

八到十六个字符之间

随机(没有完整的单词或名字,没有个人信息)

大写字母、小写字母、数字和特殊字符(@#$%)的混合

这样,黑客将很难访问网站,还应该限制站点上允许的登录次数。黑客可以使用程序随机“尝试”密码组合,直到找到正确的密码。但是,如果在三次尝试之后锁定了它们,就阻止了黑客的入侵行为。还可以在登录时添加双重身份验证,这意味着正常登录,然后必须输入一个作为文本发送到智能手机的代码。骗子想要破解,必须窃取密码和智能手机。

备份

如果最糟糕的情况发生了,遭到了黑客攻击,那么还有一种方法可以解决这个问题。只需要从站点的最后一个(未感染)版本恢复网站即可。如果定期进行备份(或者让主机提供商进行备份),那么只需按下一个按钮就可以恢复网站,就可以扳倒那些试图入侵网站的黑客。更多相关内容可以参考了解 海外服务器有哪些常见的备份方法。

用户可能会被黑客攻击,这就是网络世界的特性。但是,使用VPS主机、定期更新和备份以及安全密码,可以阻止黑客并阻止他们破坏自己努力起的网站。Hostease美国服务器商可以为用户提供VPS主机和自动更新和备份,以确保网站安全。