每周都有數(shù)以千計(jì)的新網(wǎng)站被谷歌列入惡意軟件黑名單。根據(jù)Google 透明度報(bào)告,每周還有 33,000 個(gè)被標(biāo)記為網(wǎng)絡(luò)釣魚。不要掉以輕心;這是一個(gè)非常可怕的統(tǒng)計(jì)數(shù)據(jù)。網(wǎng)站成為安全攻擊的目標(biāo),因?yàn)閮?nèi)容管理系統(tǒng) (CMS) 為近 27% 的互聯(lián)網(wǎng)提供支持并引起安全威脅的注意。這可能會(huì)導(dǎo)致惡意代碼的插入、數(shù)據(jù)的竊取以及站點(diǎn)的關(guān)閉。這需要一些嚴(yán)肅的預(yù)防和安全措施來保護(hù)網(wǎng)站免受攻擊。
1.備份:
如果您沒有一個(gè)或兩個(gè)最新的網(wǎng)站備份版本,那么擁有一個(gè)網(wǎng)站肯定沒有用。新的研究表明,網(wǎng)站黑客和勒索軟件等繼續(xù)增加。每天大約有90,000 多個(gè)網(wǎng)站遭到黑客攻擊。那么,如果沒有備份解決方案,網(wǎng)站所有者在這種情況下會(huì)怎么做?萬一出現(xiàn)問題,網(wǎng)站備份?會(huì)派上用場。客戶需要定期備份以覆蓋所有內(nèi)容。大多數(shù)主機(jī)網(wǎng)站都提供免費(fèi)備份服務(wù)。客戶也可以獲得一些外包備份服務(wù),例如Acronis。這種類型的服務(wù)不僅可以備份網(wǎng)站,還可以持續(xù)監(jiān)控和掃描網(wǎng)站是否存在安全漏洞。
2. 保持網(wǎng)站更新
定期更新軟件、安全和腳本,因?yàn)樗梢宰屓肭终呷肭志W(wǎng)站。如果它是托管服務(wù),則還需要更新網(wǎng)站。只要有可用的網(wǎng)站更新,請(qǐng)立即安裝——不要等待。軟件和瀏覽器更新通常試圖解決安全漏洞。同樣,請(qǐng)確保更新您的 SSL 證書和您網(wǎng)站上的其他重要證書。此步驟不會(huì)直接影響網(wǎng)站的安全性。此步驟將確保網(wǎng)站繼續(xù)出現(xiàn)在搜索引擎中。
3.安全插件
通過使用不同的網(wǎng)站防火墻可以獲得持續(xù)保護(hù),客戶可以訂閱。WordPress 等網(wǎng)站托管服務(wù)提供安全插件,就像使用安全軟件保護(hù)網(wǎng)站一樣。客戶還可以安裝 WordFence,它具有 WordPress 的安全功能,可以保護(hù)網(wǎng)站而無需任何設(shè)置復(fù)雜性。還有基于云的防火墻,包括網(wǎng)站應(yīng)用程序防火墻 (WAF)。對(duì)于這些客戶需要將防火墻下載到他們的計(jì)算機(jī)中使用。
這方面的另一個(gè)方面是保持主題和插件的更新。黑客通常以易受攻擊的代碼為目標(biāo)。一旦看到通知,客戶就需要立即更新插件和主題。如果插件或主題不再使用或被遺忘,則必須刪除或刪除它們。
4.密碼保護(hù)和其他安全選項(xiàng)
在網(wǎng)站上使用“admin”作為用戶名或登錄名容易受到許多黑客和機(jī)器人的攻擊,他們會(huì)嘗試使用 admin 登錄。網(wǎng)站所有者還需要保護(hù) WP-Admin 文件夾和登錄文件,因?yàn)檫@將限制黑客訪問這些區(qū)域。敏感文件的文件夾也很容易被破解。所有者需要將此類文件夾的位置名稱更改為隨機(jī)且無聊的名稱。此步驟還將使查找這些文件變得更加困難。
保護(hù)密碼的步驟
管理員級(jí)別站點(diǎn)使用唯一密碼是不夠的。網(wǎng)站所有者需要設(shè)置無法在其他任何地方復(fù)制的復(fù)雜且隨機(jī)的密碼,并且他們還需要將密碼的密鑰存儲(chǔ)在網(wǎng)站目錄之外。密碼可以存儲(chǔ)在不同硬盤驅(qū)動(dòng)器或計(jì)算機(jī)上的脫機(jī)文件中。如果用戶密碼存儲(chǔ)在網(wǎng)站上,請(qǐng)以加密格式存儲(chǔ)。如果網(wǎng)站所有者以純文本格式存儲(chǔ)密碼,那么黑客很容易竊取密碼并找到文件。
還要限制登錄嘗試。由于多次登錄網(wǎng)站使其容易受到暴力和惡意軟件攻擊。黑客可能會(huì)嘗試使用特殊工具進(jìn)行多種組合來破解登錄密碼。有幾個(gè)選項(xiàng)可以限制登錄嘗試,例如 WordFence、LockDown 插件。這些服務(wù)會(huì)阻止多次登錄嘗試。
有效管理文件位置
這方面的另一個(gè)重要方面是防止用戶將文件上傳到網(wǎng)站。當(dāng)人們將文件上傳到網(wǎng)站時(shí),安全漏洞漏洞就會(huì)自動(dòng)打開。人們可以上傳文件的區(qū)域也需要?jiǎng)h除。也可以限制表單,以便它們只允許上傳一種文件類型。如果一個(gè)網(wǎng)站依賴于網(wǎng)頁形式來提交信件等,那么這個(gè)問題可以通過設(shè)置用于提交的電子郵件地址來解決,該地址可以添加到客戶的聯(lián)系頁面。在這種情況下,用戶將通過電子郵件發(fā)送文件而不是上傳文件。
網(wǎng)站錯(cuò)誤信息
保持錯(cuò)誤消息簡單也可以限制黑客攻擊,因?yàn)樗梢蕴峁┨嘈畔⒑蛺阂廛浖诳涂梢酝ㄟ^訪問網(wǎng)站的根目錄來利用它。避免在網(wǎng)站的錯(cuò)誤消息中添加明確的細(xì)節(jié),并提供簡潔的道歉。還將用戶鏈接回主網(wǎng)站。示例包括 404 錯(cuò)誤和 500 類型的服務(wù)器代碼等。
5. SSL 或 HTTPS 加密
SSL 證書有助于激活加密瀏覽器與服務(wù)器通信的HTTPS 協(xié)議——在線安全的第一步。這確保了網(wǎng)站只能在網(wǎng)站和用戶的瀏覽器之間來回傳輸加密信息。網(wǎng)站所有者只需支付年費(fèi)即可維持 SSL 認(rèn)證。SSL 認(rèn)證的付費(fèi)選項(xiàng)對(duì)于驗(yàn)證網(wǎng)站和所有者詳細(xì)信息等是必要的,每年、每三年一次,有時(shí)甚至更長。
存在免費(fèi)證書,但僅適用于 DV SSL,這些證書只完成了一半的工作,并且必須每 90 天更新一次。在選擇 SSL 證書時(shí),網(wǎng)站所有者可以選擇三個(gè)不同的選項(xiàng)。它們是:DV SSL(域驗(yàn)證)、EV SSL(擴(kuò)展驗(yàn)證)和 OV SSL(組織驗(yàn)證)。谷歌需要擴(kuò)展驗(yàn)證,以便在網(wǎng)站 URL 旁邊發(fā)出綠色的“安全”欄。此外,EV 和 OV 證書可為網(wǎng)站提供更高級(jí)別的信任和更強(qiáng)的加密。
安裝 SSL 證書后,網(wǎng)站文件和數(shù)據(jù)將通過此安全的 HTTPS 協(xié)議進(jìn)行加密傳輸。通過將 SSL 證書安裝到網(wǎng)站的“證書”部分,網(wǎng)站所有者可以激活 HTTPS 加密。
這是一個(gè)包裝!
我們希望您發(fā)現(xiàn)有關(guān)保護(hù)網(wǎng)站安全的信息很有用。無論是網(wǎng)站備份、密碼保護(hù)還是 SSL 證書保護(hù),使用正確的工具來保護(hù)您的在線狀態(tài)將有助于抵御對(duì)您網(wǎng)站的惡意威脅。讓我們?cè)俅未_保互聯(lián)網(wǎng)安全!
