十一月 25th, 2019

在维持在线状态方面,安全并非我们一直考虑到的问题,但是如今绝对值得考虑。网站黑客和网络攻击一直在发生,而几乎所有这些都是可以预防的。

本文将介绍如何保护网站安全,并且无需雇用安全专家来做到这一点。有一些可遵循的基本步骤操作,这有助于使网站更加安全,被成功攻击的可能性也大大降低。

本文将从基础知识开始,然后逐步发展到更高级的安全措施,但是所有这些步骤都很容易实现。

制作网站审核清单

每当执行一项艰巨的任务时,制作清单都是一个好主意,确保网站安全的任务也不例外。本文中的每条建议都是网站安全检查表中的一项。创建清单之后,每次在网站上执行安全审核时,该清单都可以作为指南。

不必在每次评估网站安全性时都进行深入审核,但是建议网站第一次审核时要做得尽可能彻底。

接下来一起看一看网站安全审核清单中应该包括哪些内容。

从一些基本的CMS设置开始

内容管理系统(CMS)是网站的心脏。通过其登录门户,可以对网站进行任何操作,包括发布和删除内容以及使网站脱机。肯定不希望未经授权的用户在这里登录,因此这是开始实施安全措施的合理位置。

以下是首先需要检查的一些最重要的事情。

用户设置:这是一个很重要的问题。如果在CMS平台上启用了不需要的用户,最好禁用他们。如果存在任何默认用户名(例如管理员账户),必须确保更改了默认密码。

除了设置一个高强度密码之外,最好将管理员账户的用户名更改为容易记住的用户名,例如自己名字的变体,这很难猜测。这样,默认登录名将变得无用,并且管理员用户名和密码都将难以被黑客猜到。

评论设置:需要注意网站正在处理的用户输入。建议不要让匿名用户访问网站上的评论,因为对自己的行为不负责任的人发布的评论通常少于恭维的评论。Bot(网上机器人)是另一个问题,因为黑客借助于Bot可使评论部分垃圾泛滥。

信息的一般可见性:不应该公开网站后端的任何信息。攻击者会尝试探测所安装的程序,以找到可用来攻击站点的媒介和工具。

甚至知道正运行的软件和插件的版本,也可以为攻击者提供帮助。一般的经验是,不要让任何人看到除了提供给用户的内容以外的任何内容。

输入验证:网站上任何接受用户输入的地方都需要进行像样的输入验证。即过滤或禁止输入特定字符和键入的任何内容。SQL(结构查询语言)注入攻击可以通过添加特殊字符的方式来欺骗系统以执行SQL查询。

这样会欺骗网站运行自认为经过验证的用户的查询。更新CMS通常会阻止这种攻击,但是,如果使用任何自定义的网络应用程序或插件,则需要了解当前的每个安全隐患。

查看权限是如何定义的

仔细管理网站的文件和文件夹权限对网站安全至关重要。每当需要更新网站上的内容时,网络服务器都会验证尝试进行更改的用户访问权限。如果该用户具有访问和相关的权限,则可以进行更改。这就是前面所提到的用户设置如此重要的原因。运行用户权限审核时,可以设置文件访问权限,用户访问权限等。

需要注意的主要权限设置为:

用户权限:CMS中设置的每个用户都需要具有特定的属性和权限。在信息安全领域,有一种原则被称为“最小特权”,它对于这类设置特别有用。

普通用户只能访问网站上能增强其体验的内容,这很有意义,因为该网站是为他们准备的。只有授权用户才有权进行任何更改。

所有者,组或公共:管理用户意味着需要对他们进行分类并将其纳入适当的组中。为每个组提供不同的访问级别。所有者具有网站内容的读写权限,这意味着他们可以随意创建和删除文件。公共访问通常被锁定,并且只允许读取。

读取,写入或执行:这些是文件权限,它们决定文件是否可以被打开、读取或更改。如果用户具有执行权限,则他们能够安装应用程序和插件。普通用户不应该具有此级别的访问。

遵循CMS实践

如果要管理自己的网站,则应该熟悉特定的CMS实践。每个CMS(例如WordPress或Joomla)都会在其网站上列出发行说明和建议,因此请务必定期检查。

以下是一些常识性项目,但可能没有意识到要检查它们。可将这些项目添加到清单中,有助于确保CMS已锁定并安全。

确保CMS已更新:这听起来相当简单,尤其是因为大多数CMS安装会在有可用更新时给出通知。但是,并非每个人都将CMS更新的安装分配为最高优先级,因此,实时的网站可能会在后端运行过时的CMS。

升级CMS可能引发对插件和应用程序兼容性的担忧,这就是为什么更新任务经常被推迟,但这不是让CMS过时的充分理由。

确保插件已更新:如果插件开发人员在其最新更新中标识了与网站安全相关的任何修补程序,则需要尽快更新这些插件。

安装一些安全性插件:很多很棒的插件都有助于保护网站。从入侵检测到用于处理安全监视和警报的工具,一切都可以安装在网站上,这些东西可以使它变得更加安全。

创建一个测试环境:如果不太确定新的更新,最好先进行测试。备份网站,并将其还原到本地PC上。然后,就可以测试网站的所有功能,而不会中断网站的使用。如果更新后的一切都没有问题,则可以继续将更新应用于实时的网站。

每次重大变更之前备份网站:如果在安全审核过程中需要更新网站的任何关键元素,确保在此过程中的每一步都创建了网站的备份。这样以后发现任何奇怪的行为,至少拥有网站更新之前每个状态的完整备份。

想想“ACB”——始终创建备份!

如果说有任何可以料想到的事情,那会是忘记备份的时候就是需要从头构建的时候。通过经常备份数据来避免这种情况是明智的。

有多种方式可用来备份网站以及支持网站正常运行所需的支撑数据库和文件。在制定定期备份网站的计划时,以下是需考虑的最重要因素。

具有多种备份位置和方法:如果进行了备份但没从网络服务器中下载备份,则当该网络服务器发生故障,就会无法恢复网站。使用大型提供商时,虽然它们可能具有用以保护网站的冗余和大规模灾难恢复功能,但是问题确实会发生。地震、洪涝、风暴和其他自然灾害有可能破坏基础设施和数据中心。

确保将备份保存在其它安全的地方,例如CD或闪存驱动器之类的物理介质。云提供商也提供了一个安全的位置来存储数据,但是同样,总有可能中断导致无法访问云服务。

自动执行和计划备份:没有人愿意执行备份,因为这很麻烦。幸运的是,可以通过多种方式来设置自动备份。可以直接将一些商业产品和插件安装到CMS中,或者如果有相应的时间和技能,还可以编写自己的脚本。

为失败做准备:

任何成功的信息安全策略的关键是,认为似乎不仅可能发生负面事件,而且可以肯定。以这种方式思考,能为任何可能发生的事情做好计划。如果认为数据库可能会损坏,就备份它。如果认为CMS可能无法使用,就了解如何解锁账户。请记住在IT(信息科技)行业中,任何可能出错的地方都会出错。

定期测试备份:将备份还原到本地计算机的测试机上是一种好习惯,尤其是在更新CMS或网络服务器之前和之后。需要担心的最后一件事是备份崩溃或损坏时,阻止站点启动和重新运行。想了解更多的相关内容可以阅读虚拟主机上怎样对网站进行备份

更多安全清单项目

本文可继续讨论有关网站安全性的更多方面,但主要还是关注基础知识。在离开本文之前,以下是一些可能需要添加到安全审核工作清单中的项目。

禁用目录浏览:默认情况下是禁用的,但是有些事情会导致目录浏览被激活。定期将其放在检查清单中,以防更新时意外激活了该功能。根本不需要任何好奇的用户浏览网络服务器的文件结构。

禁用图像热链接:同样,大多数现代CMS程序包都会默认阻止此行为,但不时检查它以确保热链接未被启用也没有什么害处。图像热链接会吞噬网站宝贵的带宽和系统资源,因为这是在承担他人链接托管的开销。

安装SSL证书:在2019年,所有公共互联网通信都需要加密已成为必需。为了适当地屏蔽进出网站的数据,需要在网站上加载并注册SSL证书。大多数现代浏览器都会向访问者发送令人讨厌的有关网站缺少证书的消息,该证书能将此类消息赶走,因此应该考虑使用SSL。

使用密码的最佳做法:意图非法获得网站访问权限的攻击者将使用许多不同的攻击方法。如果他们设法访问某些系统信息,则他们可以对保存的哈希密码进行基于哈希的高级攻击。如果未设置最大登录限制,则黑客可以采用自动字典攻击或蛮力攻击。除了安全性插件之外,还应该对主要的管理员登录(实际上,对所有用户账户)使用双重身份验证。

使用SSH或安全文件传输协议(FTP):很多人没有意识到FTP是未加密的,因此,如果可以选择不使用FTP,那就不要使用。

安全审核是一项持续的任务,需要成为网站常规维护的一部分。记住,后续审核不必像初次审核那样彻底。审核清单是一个动态文档,应根据安全要求而变化。更多的相关内容可以阅读网站安全对网站SEO优化有哪些影响

发表评论

电子邮件地址不会被公开。 必填项已用*标注