保护网站安全的10个步骤

日期: 2023-10-24 14:07

1. 安装安全插件

如果您使用内容管理系统 (CMS) 创建了网站,则可以使用安全插件升级您的网站,以有效防止网站黑客入侵。

每个主要的CMS选项都有安全插件,其中许多是免费的。

2. 使用HTTPS

作为消费者,您可能已经知道,每当您向网站提供敏感信息时,请始终在浏览器栏中查找绿色锁和https图像。

以下是将您的网站安全地从黑客手中移出的五个关键点: 它们表明此特定网页上的信息是安全的。

SSL 证书很重要,因为它可以保护您的网站和服务器之间的信息传输,例如信用卡、个人信息和联系信息。

虽然SSL证书对于电子商务网站来说一直是必不可少的,但最近获得证书对所有网站都变得很重要。

3. 使您的网站平台和软件保持最新

将CMS与许多有用的插件一起使用有很多好处,但也存在风险。网站传染的主要原因是CMS的可扩展组件中的漏洞。

由于其中许多工具都是作为开源软件创建的,因此它们的代码对于善意的开发人员和恶意黑客来说都是随时可用的。

黑客可以破解此代码并寻找漏洞,使他们能够使用操作系统或脚本中的任何漏洞控制您的网站。

为了保护您的网站不被黑客入侵,请始终确保更新您的 CMS、插件、软件和您安装的任何脚本。

如果您管理WordPress网站,则可以在登录WordPress仪表板时检查您是否是最新的。

在站点名称旁边的左上角查找刷新图标。单击数字以访问WordPress更新。

4. 确保您的密码安全

这听起来很简单,但非常重要。

使用您知道易于记忆的密码登录您的网站很诱人。因此,数字 1 和最常见的密码仍然是123456。你必须做得更好 - 比这更好,以防止黑客和其他陌生人登录。

尝试找到一个完全安全的密码(或使用密码生成器)。扩大。使用字母、数字和特殊字符的组合。避免使用容易猜到的关键字,例如宝宝的出生或姓名。如果黑客以某种方式访问了有关您的其他信息,他们可以首先猜到它。

第一步是保持更高级别的密码安全性。您还应该确保访问您网站的每个人都拥有同样强的密码。团队中的弱密码可能会危及您的网站,因此请与具有访问权限的每个人设置密码。

该研究所对网站所有用户在字符长度和类型方面的要求。如果您的员工想为他们不太安全的帐户使用简单的密码,那是他们的事。但是当涉及到您的网站时,这是您的业务(字面意思),您可以将其维护在更高的水平。

5. 投资自动备份

即使您在此列表中执行其他操作,您仍然会面临风险。网站黑客攻击的最坏情况是,由于忘记备份网站,您将丢失所有内容。保护自己的最好方法是确保您始终有备份。

尽管数据泄露并不重要,但在进行备份时恢复要容易得多。您可以从每天或每周手动备份站点开始。但是,如果您有丝毫忘记的机会,请投资自动备份。这是一种廉价的购买安心的方式。

6. 通过您的网站接受文件上传时采取预防措施

当有人可以选择将内容上传到您的网站时,他们可以通过上传恶意文件、覆盖您网站可用的文件之一或上传足够大的文件来完全摧毁您的网站来滥用该权限。慢慢

如果可能,请不要接受通过您的网站上传任何文件。许多小型企业网站可以在不提供上传文件选项的情况下处理此问题。如果这是您的描述,此时您可以跳过其他描述。

但是删除上传的文件并不是所有网站的选择。某些类型的企业,如会计师或医疗保健提供者,需要提供一种安全的方式来向客户提供文件。

如果您需要上传文件,请按照以下步骤操作,以确保您的网站安全:

创建允许的文件扩展名的白名单。 通过选择您接受的文件类型,可以消除可疑文件类型。

使用文件类型验证。 黑客试图通过重命名具有不同文档类型扩展名的文档或在文件名中添加句点或空格来轻松访问白名单过滤器。

设置最大文件大小。 通过拒绝任何过于具体的文件来避免分布式服务 (DDoS) 攻击。

扫描文件中的恶意软件。 使用防病毒软件在打开文件之前扫描所有文件。

上传后自动重命名文件。如果黑客正在寻找另一个文件,黑客将无法再次访问它。

将上传文件夹保留在网络根目录之外。 这可以防止黑客通过他们上传的文件访问您的网站。

这些步骤可以消除允许将文件上传到您的网站所固有的许多漏洞。

7. 使用参数化查询

SQL注入是许多网站成为受害者的最常见的网站黑客攻击之一。

如果您有允许外部用户提交信息的 Web 表单或 URL 参数,则 SQL 输入可以正常工作。如果将分区的参数保持过于开放,则任何人都可以在其中输入允许访问数据库的代码。保护您的网站免受此影响非常重要,因为敏感的客户信息可以存储在您的数据库中。

您可以采取几个步骤来保护您的网站免受SQL注入黑客攻击。参数化查询的使用是最重要且最容易实现的查询之一。使用参数化检查器,您的代码具有足够的特定参数,因此黑客不会参与其中。

8. 使用云解决方案提供商

跨站点脚本 (XSS) 攻击是网站所有者需要注意的另一个常见威胁。黑客找到了一种在您的页面上传播恶意 JavaScript 代码的方法,这可能会感染任何暴露于该代码的网站访问者的设备。

保护您的网站免受XSS攻击的一部分战斗就像SQL注入的参数化查询一样。确保您在网站上用于允许访问的操作或字段的任何代码都在允许的范围内,因此不要留下滑点。

内容全策略 (CSP) 是另一个有用的工具,可帮助保护站点免受 XSS 的侵害。CSP 允许您考虑页面上的浏览器应作为可执行文本可靠来源的域。然后,浏览器检测到它不注意任何可能感染您网站访问者的文本或恶意软件。

使用 CSP 涉及将适当的 HTTP 标头添加到网页,该标头提供了一组说明,告知浏览器哪些域是合适的,以及此规则的例外情况。可在此处找到有关为网站创建 CSP 标头的详细信息。

9. 锁定文件和列表权限

所有网站都可以汇总到存储在您的虚拟主机帐户中的一系列文件和文件夹中。除了包含使您的网站正常运行所需的所有脚本和数据之外,这些文件和文件夹中的每一个都有一组权限,这些权限控制谁可以访问、写入和执行每个特定文件或文件夹,具体取决于您所属的用户或组。

在 Linux 中,权限显示为三位代码,每个数字代表一个介于 0-7 之间的整数。第一个数字表示文件的所有者,第二个数字表示分配给文件持有者组的每个人,第三个数字表示其他所有人。任务如下:

4次读取

写两次

1 等于跑步

0 不等于此用户的任何许可证

例如,选择权限代码“644”。在这种情况下,第一个位置的“6”(或“4 + 2”)允许文件的所有者读取和写入文件。第二种和第三种情况下的数字“4”表示组用户和互联网用户只能读取文件,从而保护文件免受意外篡改。

因此,用户、组和其中的其他人可以读取权限为“777”(或 4 + 2 + 1/4 + 2 + 2 + 1)的文件。

如您所料,带有许可证代码的文件允许网络上的任何人编写和执行它,其安全性远低于锁定文件,以保护保留的所有权利。

是老板吗。当然,有充分的理由联系其他用户组(例如匿名FTP上传),但必须仔细考虑它们,以避免在网站上造成安全风险。

因此,设置权限的一个好的经验法则是:

文件夹和目录 = 755

单个文件 = 644

要设置您的文件权限,请登录到文件管理器cPanel或通过FTP连接到您的服务器。登录后,您将看到您拥有的文件权限列表(例如使用 Filezilla FTP 创建的文件权限):

锁定文件和列表权限

此示例的最后一列显示当前分配给网站内容的文件夹和文件权限。要在Filezilla中更改这些权限,只需右键单击文件夹或文件,然后选择“文件权限”。这样做将启动一个页面,允许您使用一系列复选框设置不同的权限:

锁定文件和列表权限

尽管Web主机或FTP应用程序的内部可能看起来略有不同,但更改权限的基本过程是相同的。

10. 检测错误消息很简单(但仍然有用)。

详细的错误消息可以帮助您识别问题,以便您知道如何修复它。

但是,当这些错误消息显示给外部访问者时,它们可能会显示敏感信息,从而准确地告诉潜在的黑客您网站的漏洞。

请非常小心您在错误消息中提供的信息,因此不要提供有助于恶意黑客入侵您的信息。

使错误消息足够简单,这样它们就不会经常意外暴露。但也要避免歧义,以便您的访问者仍然可以知道足够的错误消息,知道下一步该怎么做。

保护网站免受黑客攻击


网站安全和学习如何防范黑客是您网站长期健康和安全的重要组成部分!不要拖延采取这些重要步骤

TAG标签: 网站安全

首页
报价
案例
联系