Category Archive: 网站安全

12月 20th, 2021

事情最终还是发生了:网站瘫痪,您吓坏了,因为您不知道该怎么做,甚至不知道是否有最近的网站备份。别担心,我们在这里提供帮助!本文将讨论一些问题,并介绍一些导致网站崩溃的常见问题,该怎么做,以及如果再次发生,如何做好准备。

网站崩溃的常见原因

1. 插件。技术不断发展,对插件来说就不是这样了。一些插件的创造者要么放弃他们的创造,要么不更新它。如果使用的插件没有更新,那么就有可能出现问题并导致崩溃。

2. 编码。更新代码时,要确保它与网站在同一页面。添加与当前代码或插件冲突的代码,通常会导致崩溃。如果网站在添加新的代码后马上就崩溃了,这可能是罪魁祸首。

3. 流量激增。如果流量不足,这是个好问题。意思是说,网站虽然瘫痪了,但得到了更多的流量。但是,这仍然是一个需要解决的问题。推荐阅读:《 网站打开速度慢该怎么办呢 》

4. 缺乏主机空间。流量激增的一个常见问题——如果没有足够的主机空间,网站可能而且会崩溃。与流量激增不同,这里没有半满的杯子。除非保持网站非常小,并且不升级,否则开始的东西并不总是有效。

5. 黑客。有些人只想看着世界被烧毁,而网站恰好就在他们的世界里。蛮力攻击可以使一个网站极快地瘫痪,造成试图修复时压力和时间和金钱的损失。

6. 域名过期。在购买域名后可能不会想到这一点,但它对网站至关重要。如果域名过期了,而又没有续费,那就根本没有办法进入网站了。

如何修复崩溃?

一开始,请联系主机商。他们能够帮助解决这个问题。即使这不是他们的错,他们也有工具和经验来发现问题所在以及如何去解决它。

与他们保持联系,尽量保持冷静和耐心。每个问题的解决都不是立竿见影的,可能会有多个问题发生。如果主机商不能提供帮助,您可以开始寻找能帮助您的人。然后开始寻找一个新的主机。

从您的网站备份中启动和运行

是否还记得我们谈到的网站备份?希望有一个备份。如果没有,让我们来谈谈主机。

对于网站的备份,需要对主机商有绝对的信心。如果主机不提供这个,为什么还要选择他们?当网站发生故障时,备份可以大大减少停机时间。我们理解让网站尽快恢复的重要性,这就是为什么我们提供自动远程备份服务。

另一个步骤是在添加新代码或添加或更新插件之前做一些研究。正如我们提到的,这些东西可能在不知情的情况下过时或导致更多问题。一个简单的Google搜索就可以帮助拯救网站崩溃造成的头痛。

如果觉得我们对网站备份显得有些激进,那是因为它对网站崩溃非常重要。您可能无法防止网站崩溃,但您可以随时做好准备。确保您对主机有100%的信心,在网站崩溃时能够提供帮助。关于我们的自动备份服务的更多信息,请查看其他文章。推荐相关阅读:《 CDN对于网站的重要性 》

9月 29th, 2021

安装和配置防火墙通常需要对服务器进行 root 访问,并且不可避免地涉及一些命令行工作,这是许多人不习惯的。然而,正如在 Linux VPS 上安装 CSF 的步骤将向您展示的那样,没有什么太困难或复杂的。

您需要执行以下操作:

您将启动 CSF 的安装程序。在安装应用程序之前,它会首先检查所有先决条件是否都存在。

默认情况下,它们应该在所有受支持的 Linux 发行版上可用。推荐阅读:《什么是 VPS 防火墙?》

禁用任何现有的防火墙并配置 CSF

如果您的计算机上正在运行任何其他防火墙实用程序,如果您使用受支持的 Web 托管控制面板之一,您可以从那里启用和管理防火墙。

幸运的是,与许多其他流行的 Linux 防火墙一样,CSF 带有大量文档。弄清楚您需要应用什么样的设置来根据您的确切规格设置防火墙应该不难。

如果您选择 CSF 以外的防火墙解决方案,您将需要稍微不同的命令。尽管如此,如果您有一个具有 root 访问权限的自我管理的VPS,这个过程相对简单。

使用托管 VPS,您仍然拥有自己的虚拟服务器。您可以自由利用其所有硬件资源并安装您认为合适的应用程序。不同之处在于,您无需执行任何系统管理员工作。相反,您的托管服务提供商会使用其专业知识来确保您的 VPS 正确设置并始终正常工作。推荐阅读:《网络不稳定的原因(二)》

这包括安装和配置VPS 防火墙。

如果您的经验有限,并且您对自己设置所有内容感到不自在,那么这是首选设置。但是,请避免将自己置于可能符合或不符合项目要求的严格默认设置中。

如果您需要使用需要特定防火墙规则集的应用程序,您的主机支持团队必须能够快速检查是否可以更改设置。如果是 – 他们将为您应用新配置。如果没有 – 他们应该能够为您指出正确的自我管理计划,并且最好为您提供有关合适防火墙解决方案的信息。

结论

对于某些人来说,设置防火墙的任务似乎令人生畏,尤其是当他们的服务器管理经验有限时。事实是,有很多有用的指南和资源,如果您愿意投入时间和精力,就不太可能出错。

尽管如此,如果您仍然对自己处理任务感到不自在,您可以选择一个托管的 VPS 计划,并将努力工作交给专家。推荐相关阅读:《服务器虚拟化和Hypervisor如何确保VPS安全》

TAGS:
8月 31st, 2021

网站在搭建过程中,初期会考虑网站空间到底要买多大,或者会考虑以后随着业务量增加,进行相应的扩展。但也有的站长压根没有考虑这么多,因而导致在很长一段时间之后,网站的需求增加越来越大,起初选择的虚拟主机空间已经无法满足当下的要求,因此要对整体数据进行迁移更换。那就有站长会问,我们经过了长时间的备案,那么在换虚拟主机空间网站还要重新备案呢?推荐阅读:《常见的虚拟主机问题,等你看过来》

其实备案对用户来说,时间确实是有点长,可能辛辛苦苦的备案花费了一个月时间,如果在更换虚拟主机空间时又要重新备案,重新花费时间不说,还极有可能在这一个月内,网站无法打开可能造成无法估量的损失。

然而,用户完全不用担心。首先,我们在更换虚拟主机空间时并不会要求原网站一定要停掉,可以完全在迁移数据信息之后,测试完成没有问题,再将原域名进行解析到原网站。或者可以将原网站重新解析到一个二级域名。我们知道,对于备案主要是域名,针对已经备案的域名,开一个二级域名是不用再备案的。推荐阅读:《如何为博客寻找合适的虚拟主机?》

所以,我们不难得出,如果网站在进行迁移数据时,完全不用进行再备案,只需要将原网站进行整体数据备份,然后将数据下载重新上传即可。在这个过程中,我们只要对数据进行正常操作即可,其他的不用管。

以上就是更换虚拟主机空间后是不是需要重新备案的问题解答,对于用户来说,我们可能确实在初期选择网站空间不能满足后来业务发展需求,但是也完全不用担心迁移网站数据要备案的问题,备案是针对域名而非这个网站本身。推荐阅读:《选择虚拟主机的理由》

5月 25th, 2021

网络不稳定的原因除了硬件和带宽的问题,还有网速在传输过程中遇到节点过多,某个端口形成了瓶颈,还有就是电脑的防护级别低,导致了病毒入侵,或者是防火墙级别较高等问题。这一系列问题都是造成网络不稳定的问题。推荐阅读:《网络不稳定的原因(一)

第一:网络传输节点过多

我们需要注意的是网络上如果存在多个回路或者节点都会造成网速变慢的问题。因为为了安全或者利益最大化,有的会把网络用在一些比较负责的地方,随之经过的节点也就很多了。比如:网吧,办公场所等地方都是线路较多,节点较多的网络区域。这样的网络区域很容易无意中造成回路。所以为了避免此类事情的发生,我们要在铺设网络的时候一定要有良好的习惯,网线上也要打好明显的标签,备用线路也要做好记录。防止万一此类情况发生问题,我们可以快速定位网络故障区域。

第二:端口瓶颈

端口遇到瓶颈的意思就是在我们使用路由器和交换机连接到网络的时候,路由器的广域和局域网端口,交换机端口和服务器网卡都有可能造成网络瓶颈的问题,当然出现此类问题的时候,通过对数据分析统计来确认数据瓶颈的具体位置。然后具体问题具体分析,然后加大端口的就可以解决此类问题。

第三:电脑病毒

电脑如果中病毒了也会影响网络的稳定性。病毒会使大量的程序在后台运行,然后程序占用了大量的空间的网速,原因其实就是这里,还有一些蠕虫病毒也是对网速有影响的,此类病毒会补停的向外界发送邮件,从而造成机器宕机的情况。如果我们要验证的话很容易造成局域网的瘫痪。所以我们在使用电脑的时候,必须要做好杀毒的工作,防止木马病毒侵入电脑,病毒库也要定期的更新,这样才能保证网络正常的情况。推荐阅读:《网站SEO时服务器不稳定会有什么影响?

第四:资源不足

我们在使用电脑的时候打开的应用程序过多,会造成系统资源分配不正常的情况,因为每个程序都会占用系统资源。对于这情况我们可以关闭不需要的程序或者开机自启的程序关闭。也可以使用cmd来清理。

第五:防火墙

用户为了防止病毒或者黑客入侵,就会把电脑的防火墙级别设置很高,也有很多用户在电脑上安装了很多防火墙的软件都是开启状态,这几类的软件也会占用很多资源同时也会把网速拖垮的,所以在这里建议,我们开启一个防火墙的,防火墙可以稍微的减低防护级别。推荐阅读:《影响香港服务器托管稳定性的原因是什么呢?

 

6月 17th, 2020

数据安全是一个不容轻视的话题。最近一项针对7500名消费者的调查中,80%的受访者表示,丢失银行和金融信息是他们最担心的数据安全问题。并且这不是人们害怕丢失的唯一类型的信息!

正因为如此,安全标准和法规已经走到了数据安全领域的前沿。GDPR就是这样一个法规。它会影响在欧盟(EU)内运营,或者在欧盟外运营但与欧盟居民开展业务的公司。

本文将讨论什么是GDPR,解释它适用于谁,并建议一些WordPress网站的插件来帮助遵守GDPR法规。该法规的出台是为了确保服务于欧盟的网站是安全的,并遵循必要的数据隐私泄露协议。

如果GDPR法规也适用于自己,强烈建议研究一下这些插件。忽视GDPR法规可能导致企业被罚款,或者更糟的是,网站被黑客入侵进而失去消费者的信任!

什么是GDPR?

GDPR是General Data Protection Regulation(通用数据保护条例)的缩写。它是一项适用于在欧盟运营的公司的政府法规,旨在保护欧盟境内的所有线上消费者,以及任何在网上分享个人数据的欧盟居民。

GDPR也适用于在欧盟外运营的公司,前提是他们必须存储或处理与欧盟居民相关的信息。

主要目的是为了保护欧盟境内消费者的隐私。例如,如果在美国或加拿大拥有一家小企业,向欧盟的消费者销售产品或服务,网站必须符合GDPR的要求。

消费者的个人数据包含广泛的信息,GDPR在这方面的规定非常全面。任何可用于追踪个人身份的信息都被认为是个人数据。这包括个人的姓名、地址、照片、IP地址,甚至生物识别或基因数据。

GDPR的出台,是由于消费者对公司如何处理个人信息越来越缺乏信任。公司可以在未经消费者许可的情况下,将个人数据用于广告或营销以及其他各种目的。这就造成了不公平的关系。

GDPR旨在通过赋予消费者更多的所有权和对其个人数据的控制权来增强消费者的权力。它的出台,是为了替代效果不佳且过时的数据保护指令。

由于该法规是新出台的,所以给了企业一些时间来符合GDPR,但当局希望相关网站在2018年5月25日之前完成检查。如果GDPR适用于自己的在线业务,而且还没有处理好,应该立即去处理!

GDPR如何工作?

GDPR将所有与个人数据相关的安全合规要求都纳入一个监管机构。它涵盖了企业与欧盟居民打交道时需要了解的一切,以及他们需要遵守的所有规则。这使得企业主更容易遵守规则,并采取必要的措施保护客户隐私。

对于消费者而言,GDPR意味着对个人信息的控制程度更高。现在人们有权力和自由来索取相关公司收集的个人数据的详细信息,并且他们可以选择退出公司的数据库。这意味着,消费者可以退出公司的数据库,同时自己的信息不会被任意使用或处理。

GDPR适用于数据控制者和数据处理者。数据控制者是指收集和拥有数据的公司或组织,而数据处理者可以是应数据控制者要求处理收集到的数据的第三方公司。两者都必须遵守GDPR规则。

公司必须立即向GDPR相关机构报告任何违反隐私的行为。这意味着,如果网站被黑客入侵,必须在72小时内通知主管部门和受影响的网站访问者。

该标准旨在使企业承担起责任,并鼓励他们以最谨慎的态度对待消费者的数据。它还通过提供防止其个人数据被滥用的方法来增强消费者的能力。

为什么要认真对待GDPR?

不遵守GDPR可能会面临严重的后果。违反GDPR可能会导致高达2000万欧或公司全球营业额的4%的罚款。对于一些公司来说,这可能意味着数十亿欧元或美元的罚款!

罚款取决于隐私泄露的严重程度和规模,以及数据控制者或数据处理者是否采取了必要措施来遵守GDPR。

上面提到了最高罚款额度,但也可能面临所谓的1000万欧元或全球营业额的2%的较低罚款。这些罚款针对未报告数据泄露的情况,以及其他较小问题,比如说没有任命数据保护官员等。

不能忽视消费者数据保护的重要性。隐私问题正在成为各种规模的线上企业的首要任务。如果像Facebook这样的老牌互联网公司也能够面临GDPR监管机构的愤怒,就知道GDPR违规有多严重!

GDPR合规性的投资不仅明智,而且必须。

既然已经解释了GDPR合规性有多严格,是时候看一些可以提供帮助的工具了。有许多GDPR插件可以为保护消费者数据打下基础。

五大GDPR插件

本节将为介绍五款适合WordPress网站的GDPR插件。它们都具有保护消费者数据和隐私的功能。

GDPR Visitor Consent

Pixel Jar 创建了GDPR Visitor Consent,让网站所有者控制他们用来请求个人信息的脚本。如果不懂技术,脚本是一种在网站上自动执行特定任务的编码程序。

可能会有一个脚本,它首先捕获用户浏览网站的某个部分,然后显示请求用户信息的弹窗。

网站上安装这个插件,有助于在合适的时间和地点,以符合GDPR的方式,请求允许收集用户的个人信息。只有在征得访问者的许可后,才可以收集和处理个人数据,因此,以与自己业务完全相关的方式,战略性地请求许可绝对重要。

如果网站使用cookie跟踪用户,必须征得他们的许可。网站上运行任何用于营销或分析目的的编码脚本,都需要得到用户的许可。无论是与他们建立信任关系还是符合GDPR法规,获得网站访问者对数据收集的许可都非常重要。

这个插件的优点在于,它可以根据用户给予的特定许可,为用户创建符合GDPR的浏览体验。对于每个独立的网站访问者,只能运行已经获得用户许可的脚本。

GDPR Cookie Consent

Cookie Law Info创建了这个插件,帮助网站符合GDPR的cookie使用要求。Cookie 是用户的浏览器和网络服务器之间传输的信息。大多数公司使用cookie来分配独特的用户ID,因此当用户返回网站时,他们将根据自己的浏览记录获得更加个性化的体验。

使用GDPR Cookie Consent插件可以轻松显示cookie许可栏的横幅,管理cookie细节,并让用户对收集个人数据的cookie有更多的控制权。

这个插件的一个很大特点是,它与许多流行的多语言插件兼容。许可栏的语言会根据模板所选语言而改变。这样,就可以为来自不同国家的访问者提供更多的个性化体验。

高级版的Cookie Consent插件还可以:

  • 自动扫描网站cookie。
  • 阻止数据收集脚本,直到用户许可为止。
  • 仅对欧盟国家的访问者显示许可栏。
  • 对cookie进行分类,让用户对他们许可的内容进行细化控制。
  • 对用户的许可进行审核。
  • 撤回许可。
  • 创建各种自定义的许可栏设计。
  • 为用户进行cookie审计,让用户了解所使用的cookie及其目的。
  • 审核获得的所有许可。

Cookiebot

这是一个与cookie相关的更加全面的GDPR插件,由Cybot创建。它的一些优点包括:

  • 能够自定义许可横幅,允许用户选择加入或退出特定的cookie类别。
  • 围绕cookie政策的更多透明度,让用户知道他们的个人数据是如何被收集的。
  • 每月运行一次扫描,关注什么样的数据在被追踪以及数据被发送到哪里。这有助于网站所有者了解哪些cookie在处理用户特定的敏感数据。
  • 允许用户轻松更改或撤销许可。
  • 可翻译成44种语言的许可信息。
  • 用户许可记录存储在云端,确保在需要的时候可以随时访问。
  • 值得注意的是,安装此插件并不能确保百分百符合GDPR的要求。仍然需要解决非cookie相关的因素来保护用户数据。

WP GDPR

这是由App Saloon提供的一个伟大插件。WP GDPR使数据的真正所有者——用户——能够访问个人数据!

网站访问者可以发送请求,以查看所收集的个人数据的详细信息。后台会收到来自用户的请求列表,如下所示:

可以通过邮件报告来回复用户的请求,详细说明所收集的个人数据。

WP GDPR与其他插件互动,可以揭秘所有正在收集的个人信息,无论是哪个插件在收集。这样就可以向请求查看网站所收集信息的用户提供详细内容。

All In One GDPR WordPress 插件

如果不愿意使用多个插件来确保符合GDPR规则,这个插件可能是所需的全能解决方案。

All In One GDPR WordPress插件的功能远远超出了基本的用户许可功能。它允许在GDPR要求的72小时内向用户发送隐私泄露通知。它还可以让用户从数据库中删除他们的个人信息,联系公司的数据隐私官,取消订阅简讯,并要求导出用户数据。

这个插件还兼容其他插件,如WooCommerce, Contact Form 7, 和MailChimp。基本上,可以认为这个插件是实现广泛的GDPR合规性的一站式服务。

符合GDPR法规并保持

已经知道了一些可以帮助符合GDPR法规的插件,请继续并安装自己需要的插件。还应该跟踪GDPR的变化,可能需要改变方法和插件,以满足新的规定。

最好的办法是安装由开发者经常更新的插件。保持WordPress网站立即下载并安装插件的更新,网站将始终符合最新的数据保护法。更多相关的内容可以阅读WordPress插件和WordPress主题的危险性

4月 8th, 2020

近几年以来,黑客的攻击技术逐步增强。网站被黑客攻击是一件常见的事,已经见怪不怪了。如果黑客进入你的电脑,没有盗取网站你的信息和网站数据,说明还是安全的,只需把网站后台密码设置复杂一点就好了。

虚拟主机的作用一般都是连接站点、储存网页等等,方便用户浏览网页。与服务器相比,它的优势是比较突出的。

网站被攻击,从侧面反映出你的网站问题比较多,需要完善一下。如果你的网站做的完美,是不会遭到攻击的。在搭建网站时,应该多思考,尽量选择安全性比较高的虚拟主机,这样网站后期才能有保障。下面小编给大家说一下虚拟主机如何防止黑客攻击呢,希望能够帮助到大家。

1、设置复杂一点的密码,这个密码指网站后台的登录密码、邮箱密码、数据库密码、FTP密码等等。建议字母加数字的组合,最好长一点,第一个字母需要大写。这样不容易被攻击。在浏览器登录时,会提示保存密码,建议不要保存在浏览器上,给黑客提供方法呢。最后一点,也是重要的一点,记得保存好自己的临时文件,及时清空浏览记录。

2. 网站后台的版本要记得更新到最新版本,老版本存在很多的漏洞。容易被黑客在上面做手脚,你又不能及时发现。

3. 网站后台除了输入复杂的密码之外,还可以添加验证码,这样安全系数要高一点。最近的黑客挺暴力的,一言不合就暴力破解。

以上就是虚拟主机防止黑客攻击的几个方法,如果在实际操作中遇到这种情况,就可以运用上面的方法解决问题了,还能锻炼大家动手的能力。要想避免上述问题的发生,建议大家选择口碑好、可靠性高、速度快的虚拟主机,不用担心太多问题,线上购买之后,立即开通使用,提高了建站的效率呢。想知道更多的内容可以阅读小型企业应该如何提高网络安全?

12月 11th, 2019

在如今的商业世界中,如果想要保持竞争力,那么将中小企业连接到互联网至关重要。上网是接触潜在客户的最佳方法,但同时也有陷阱。网络犯罪是非常现实的威胁,它有可能对业务造成严重破坏,并带来灾难性后果。那么有哪些常见的网络威胁呢?

恶意软件

恶意软件结合了“恶意”和“软件”两个词,不幸的是,它们代表了中小企业需要关注的相当大的安全威胁类别。

恶意软件可被视为在计算机或网络上安装后会造成负面影响的任何软件。影响可能是文件被删除,或者计算机向通讯录中的人发送了数百封电子邮件。恶意软件可以是病毒、蠕虫或特洛伊木马,也可以是勒索软件、间谍软件、广告软件或恐吓软件。

幸运的是,通过遵循经验以及不打开任何可疑附件,可以避免这些威胁。提高安全意识的用户培训是避免恶意软件的最有效方法之一,因此,无论公司多小,都应考虑在企业中实施类似的工作。

网络钓鱼

网络钓鱼似乎永远不会消失。网络罪犯使用这种策略来窃取密码和账户信息。网络钓鱼涉及电子邮件,攻击者会将其用作陷阱的传递机制。该电子邮件似乎来自可信赖的来源,例如主机提供商,并且可能会要求提供详细的登录信息。

更常见的是,网络钓鱼电子邮件会包含看似合法的链接。电子邮件会提示点击链接,以便把登录账户或输入密码作为密码重置过程的一部分。

然而真正发生的是,链接重定向到一个与真实网站非常相似的网址,它是在攻击者的服务器上托管的虚假内容。罪犯能够读取输入其网络表单中的用户名和密码信息。然后,攻击者登录账户并进行接管。如果是网络托管账户,他们可以重定向网站、访问敏感数据或采取他们选择的任何恶意步骤。

社交工程学

社交工程学很难被发现,因为犯罪者通常很有说服力。它以多种形式出现,但是最常见的版本是通过电话甚至有时是亲自进行的。呼叫者通过假扮知名技术公司的客服人员来赢得信任。罪犯的目的是说服别人透露用户名和密码。

有时,社交工程攻击会涉及一些指令,这些指令会让人不知不觉地在计算机上安装恶意软件。一旦发生这种情况,计算机就可以在网络上传播病毒和恶意软件,并使其他用户处于危险之中。

黑客攻击

当罪犯闯入网站以造成伤害时,黑客攻击是另一个非常广泛的名词,尽管它不如一些其他安全威胁那么普遍。是的,确实会发生黑客攻击,但是病毒和恶意软件感染的实例大大超过了黑客攻击。黑客可能出于恶意或贪婪的动机,在进入系统时通常具有相当的破坏力。

分布式阻断服务(DDoS)

对于依赖网络服务进行运转的小企业来说,DDoS攻击非常可怕。当多个主机向网站发送大量虚假请求时,就会发生这种类型的攻击。网站服务器需要响应的请求突然激增,使系统不堪重负并导致脱机,从而使网站崩溃。

11月 25th, 2019

在维持在线状态方面,安全并非我们一直考虑到的问题,但是如今绝对值得考虑。网站黑客和网络攻击一直在发生,而几乎所有这些都是可以预防的。

本文将介绍如何保护网站安全,并且无需雇用安全专家来做到这一点。有一些可遵循的基本步骤操作,这有助于使网站更加安全,被成功攻击的可能性也大大降低。

本文将从基础知识开始,然后逐步发展到更高级的安全措施,但是所有这些步骤都很容易实现。

制作网站审核清单

每当执行一项艰巨的任务时,制作清单都是一个好主意,确保网站安全的任务也不例外。本文中的每条建议都是网站安全检查表中的一项。创建清单之后,每次在网站上执行安全审核时,该清单都可以作为指南。

不必在每次评估网站安全性时都进行深入审核,但是建议网站第一次审核时要做得尽可能彻底。

接下来一起看一看网站安全审核清单中应该包括哪些内容。

从一些基本的CMS设置开始

内容管理系统(CMS)是网站的心脏。通过其登录门户,可以对网站进行任何操作,包括发布和删除内容以及使网站脱机。肯定不希望未经授权的用户在这里登录,因此这是开始实施安全措施的合理位置。

以下是首先需要检查的一些最重要的事情。

用户设置:这是一个很重要的问题。如果在CMS平台上启用了不需要的用户,最好禁用他们。如果存在任何默认用户名(例如管理员账户),必须确保更改了默认密码。

除了设置一个高强度密码之外,最好将管理员账户的用户名更改为容易记住的用户名,例如自己名字的变体,这很难猜测。这样,默认登录名将变得无用,并且管理员用户名和密码都将难以被黑客猜到。

评论设置:需要注意网站正在处理的用户输入。建议不要让匿名用户访问网站上的评论,因为对自己的行为不负责任的人发布的评论通常少于恭维的评论。Bot(网上机器人)是另一个问题,因为黑客借助于Bot可使评论部分垃圾泛滥。

信息的一般可见性:不应该公开网站后端的任何信息。攻击者会尝试探测所安装的程序,以找到可用来攻击站点的媒介和工具。

甚至知道正运行的软件和插件的版本,也可以为攻击者提供帮助。一般的经验是,不要让任何人看到除了提供给用户的内容以外的任何内容。

输入验证:网站上任何接受用户输入的地方都需要进行像样的输入验证。即过滤或禁止输入特定字符和键入的任何内容。SQL(结构查询语言)注入攻击可以通过添加特殊字符的方式来欺骗系统以执行SQL查询。

这样会欺骗网站运行自认为经过验证的用户的查询。更新CMS通常会阻止这种攻击,但是,如果使用任何自定义的网络应用程序或插件,则需要了解当前的每个安全隐患。

查看权限是如何定义的

仔细管理网站的文件和文件夹权限对网站安全至关重要。每当需要更新网站上的内容时,网络服务器都会验证尝试进行更改的用户访问权限。如果该用户具有访问和相关的权限,则可以进行更改。这就是前面所提到的用户设置如此重要的原因。运行用户权限审核时,可以设置文件访问权限,用户访问权限等。

需要注意的主要权限设置为:

用户权限:CMS中设置的每个用户都需要具有特定的属性和权限。在信息安全领域,有一种原则被称为“最小特权”,它对于这类设置特别有用。

普通用户只能访问网站上能增强其体验的内容,这很有意义,因为该网站是为他们准备的。只有授权用户才有权进行任何更改。

所有者,组或公共:管理用户意味着需要对他们进行分类并将其纳入适当的组中。为每个组提供不同的访问级别。所有者具有网站内容的读写权限,这意味着他们可以随意创建和删除文件。公共访问通常被锁定,并且只允许读取。

读取,写入或执行:这些是文件权限,它们决定文件是否可以被打开、读取或更改。如果用户具有执行权限,则他们能够安装应用程序和插件。普通用户不应该具有此级别的访问。

遵循CMS实践

如果要管理自己的网站,则应该熟悉特定的CMS实践。每个CMS(例如WordPress或Joomla)都会在其网站上列出发行说明和建议,因此请务必定期检查。

以下是一些常识性项目,但可能没有意识到要检查它们。可将这些项目添加到清单中,有助于确保CMS已锁定并安全。

确保CMS已更新:这听起来相当简单,尤其是因为大多数CMS安装会在有可用更新时给出通知。但是,并非每个人都将CMS更新的安装分配为最高优先级,因此,实时的网站可能会在后端运行过时的CMS。

升级CMS可能引发对插件和应用程序兼容性的担忧,这就是为什么更新任务经常被推迟,但这不是让CMS过时的充分理由。

确保插件已更新:如果插件开发人员在其最新更新中标识了与网站安全相关的任何修补程序,则需要尽快更新这些插件。

安装一些安全性插件:很多很棒的插件都有助于保护网站。从入侵检测到用于处理安全监视和警报的工具,一切都可以安装在网站上,这些东西可以使它变得更加安全。

创建一个测试环境:如果不太确定新的更新,最好先进行测试。备份网站,并将其还原到本地PC上。然后,就可以测试网站的所有功能,而不会中断网站的使用。如果更新后的一切都没有问题,则可以继续将更新应用于实时的网站。

每次重大变更之前备份网站:如果在安全审核过程中需要更新网站的任何关键元素,确保在此过程中的每一步都创建了网站的备份。这样以后发现任何奇怪的行为,至少拥有网站更新之前每个状态的完整备份。

想想“ACB”——始终创建备份!

如果说有任何可以料想到的事情,那会是忘记备份的时候就是需要从头构建的时候。通过经常备份数据来避免这种情况是明智的。

有多种方式可用来备份网站以及支持网站正常运行所需的支撑数据库和文件。在制定定期备份网站的计划时,以下是需考虑的最重要因素。

具有多种备份位置和方法:如果进行了备份但没从网络服务器中下载备份,则当该网络服务器发生故障,就会无法恢复网站。使用大型提供商时,虽然它们可能具有用以保护网站的冗余和大规模灾难恢复功能,但是问题确实会发生。地震、洪涝、风暴和其他自然灾害有可能破坏基础设施和数据中心。

确保将备份保存在其它安全的地方,例如CD或闪存驱动器之类的物理介质。云提供商也提供了一个安全的位置来存储数据,但是同样,总有可能中断导致无法访问云服务。

自动执行和计划备份:没有人愿意执行备份,因为这很麻烦。幸运的是,可以通过多种方式来设置自动备份。可以直接将一些商业产品和插件安装到CMS中,或者如果有相应的时间和技能,还可以编写自己的脚本。

为失败做准备:

任何成功的信息安全策略的关键是,认为似乎不仅可能发生负面事件,而且可以肯定。以这种方式思考,能为任何可能发生的事情做好计划。如果认为数据库可能会损坏,就备份它。如果认为CMS可能无法使用,就了解如何解锁账户。请记住在IT(信息科技)行业中,任何可能出错的地方都会出错。

定期测试备份:将备份还原到本地计算机的测试机上是一种好习惯,尤其是在更新CMS或网络服务器之前和之后。需要担心的最后一件事是备份崩溃或损坏时,阻止站点启动和重新运行。想了解更多的相关内容可以阅读虚拟主机上怎样对网站进行备份

更多安全清单项目

本文可继续讨论有关网站安全性的更多方面,但主要还是关注基础知识。在离开本文之前,以下是一些可能需要添加到安全审核工作清单中的项目。

禁用目录浏览:默认情况下是禁用的,但是有些事情会导致目录浏览被激活。定期将其放在检查清单中,以防更新时意外激活了该功能。根本不需要任何好奇的用户浏览网络服务器的文件结构。

禁用图像热链接:同样,大多数现代CMS程序包都会默认阻止此行为,但不时检查它以确保热链接未被启用也没有什么害处。图像热链接会吞噬网站宝贵的带宽和系统资源,因为这是在承担他人链接托管的开销。

安装SSL证书:在2019年,所有公共互联网通信都需要加密已成为必需。为了适当地屏蔽进出网站的数据,需要在网站上加载并注册SSL证书。大多数现代浏览器都会向访问者发送令人讨厌的有关网站缺少证书的消息,该证书能将此类消息赶走,因此应该考虑使用SSL。

使用密码的最佳做法:意图非法获得网站访问权限的攻击者将使用许多不同的攻击方法。如果他们设法访问某些系统信息,则他们可以对保存的哈希密码进行基于哈希的高级攻击。如果未设置最大登录限制,则黑客可以采用自动字典攻击或蛮力攻击。除了安全性插件之外,还应该对主要的管理员登录(实际上,对所有用户账户)使用双重身份验证。

使用SSH或安全文件传输协议(FTP):很多人没有意识到FTP是未加密的,因此,如果可以选择不使用FTP,那就不要使用。

安全审核是一项持续的任务,需要成为网站常规维护的一部分。记住,后续审核不必像初次审核那样彻底。审核清单是一个动态文档,应根据安全要求而变化。更多的相关内容可以阅读网站安全对网站SEO优化有哪些影响

11月 6th, 2019

如果网站需要收集任何个人信息,如姓名、电子邮件地址等,或第三方应用程序,包括用于电子商务的应用程序,法律都要求制定隐私政策。而且,如果网站被发现违反了这项法律,谷歌和其他搜索引擎将会剥夺其排名,让网站无法出现在访客面前。分析公司需要它,信用卡公司需要它,社交媒体插件,几乎能想象的每个插件都需要它,所以忽略此项政策会让网站所有者寸步难行。

既然知道这是必须的,怎么制定呢?下面就让HostEase美国主机商来告诉你们吧。

隐私策略是一种让客户知道网站正在收集的数据类型以及将如何处理这些数据的条款。其内容包括:

  • 所收集信息的类型
  • 收集的目的
  • 如何使用数据
  • 存储数据的位置、安全系数如何以及该数据的访问权限
  • 一种让客户获得个人数据副本及是否同意网站收集的方法
  • 数据传输的详细信息
  • 所有附属网站或组织(包括通过网站或应用程序收集数据的第三方应用程序和插件)
  • 在站点上使用cookies

信息类型

收集的信息类型必须在隐私策略中详细列出。这包括姓名、电子邮件地址、信用卡信息(用于电子商务)及其他个人数据。

收集数据的目的

这就是解释保留信用卡信息的平台。处理和运输的“订单”、账户维护、客户服务、约定等都是收集数据的正当理由。

如何使用数据

网站所有者必须解释数据的用途。用户体验的个性化和定制、发送服务或支持消息、提供客户服务、允许访问服务等都是完美的例子。

存储、安全和访问

如果使用第三方工具,比如谷歌分析或者AdSense,需要事先声明,这样受众就知道还有谁能得到他们的信息。所有第三方数据共享的实例,应该包括指向那些第三方公司策略的链接。

选择退出选项

法律要求为正在进行的数据收集提供选择退出选项。如前所述,用户有权查看收集的有关他们的信息。法律允许他们获得这些信息。确保网站上的联系信息准确清晰。

附属第三方网站或组织

电子邮件服务提供商、社会媒体交互、谷歌分析、Google Adsense以及许多跟踪用户浏览行为的第三方服务都需要添加隐私策略。必须公开所有第三方数据采集器的详细信息。如前所述,必须按名称列出第三方组织,并列出他们收集的数据以及其用途。

总结

制定隐私政策,可以省去很多麻烦。如果想了解更多关于制定隐私政策的信息,Better Business Bureau会提供一个样本,联邦贸易委员会(FTC)会对隐私和安全进行细分,以保持网站的合法性。如果遵循他们的标准,就不会出错。同时HostEase提供了专门为WordPress网站设计的超高速托管,让网站运行得非常顺利。

10月 21st, 2019

如今网络安全越来越受到人们重视,欺诈手段也不断更新,使用得最多的方式还是网络钓鱼。通过巧妙的诱骗使个人或企业泄露敏感信息,有时甚至防不胜防。下面hostease美国主机小编就为大家介绍四种常见的网络欺诈手段。

一、虚假邮件

有时我们会收到一封看起来很正式的邮件,地址与官方账号很相像,不仔细辨认很难区分。这封邮件可能说:你的账号正在被人登录,请及时修改密码,或点击链接进行安全确认等。

如果用户点击了链接跳转到指定页面,很可能会看见账号的登录页面,但这个页面是虚假的,只是很难分辨出。但用这个页面登入了账号,那么,你的密码很可能已经泄露。

二、第三方内容注入

当使用公共wifi上网时,是否发现当时访问的网站出现了额外的广告或弹窗?而这些广告在平时是没有的。

这是因为有人通过攻击公共wifi,可以将自己的内容注入到这个网站,如果用户进行点击,很可能会上当受骗或泄露某些信息。

三、窃取

链接与链接之间,信息与信息的传输,都是攻击者能够窃取信息的时机,如果网站没有安全证书,电脑没有安全软件,那么某些不知名的链接最好不要轻易点击,否则你发送到网络上的东西很可能被拦截和窃取。

四、低价

一封邮件告诉你,你想要的商品正在低价促销,价格低到令人难以置信,可能大部分人能抵御诱惑,明白这是一个骗局,但还是有部分人会点击链接或直接进行购买。

欺诈者正是通过用户喜爱低价的心理,诱导点击链接或购买虚假产品,这是需要注意的。想知道怎么提高网站的安全的话可以阅读小型企业应该如何提高网络安全?