前段时间我们的部分用户网站受到攻击,造成部分网站间断性无法访问,今天必盛互联就跟大家提供一些保护网站安全的建议。
由于没有反病毒解决方案之类的软件来保护网站安全,人们只认为保护网站安全是在网站建立之后的工作,并非如此。保护网站只能通过不断的努力,因为遭受黑客攻击会影响到你的企业或品牌。在保护网站安全的第一防线,我们需要一些经过时间检验的基础工作来组成一个详细的安全计划。以下是一些小窍门,来帮助你打下网络安全的基础。
1. 使用开源脚本:
如果你的公司没有一个熟练的开发团队,那么最好使用开源脚本如WordPress、Drupal、Joomla、麦进斗等,它们都拥有丰富强大的功能且拥有背后拥有由数千人形成的技术支持和软件更新团队。
使用开源脚本防止了由于代码形成的漏洞导致的攻击,你只需要根据自身需求定期更新软件。由那些有信誉的公司开发的商业脚本也是可以选择的,只要他们定期发布新版本和补丁。
确保您使用任何脚本是定期更新的,防止黑客的攻击。使用密码保护登录,以确保只有注册用户才能访问特定的网站板块。
2. 经常更新:
不管是否需要新功能,你需要在新版本发布时就更新原有版本。因为新版本会对bug进行修复,这很重要!如果你不清楚版本更新是否会打破你的定制化功能,那么先在技术论坛中寻求帮助以防更新版本时定制化功能不能正常使用。
在网站上订阅相关安全发布和更新您的应用程序,学习如何执行升级,并确保尽快更新到最新的版本。从已知的安全漏洞更新保护您的网站,将极大地提高你的安全性,防止黑客利用旧的过时的软件攻击你。
3. 使用强度更高的密码:
像“loveydovey123”、“unicornlover”这样的密码在保护网站安全方面显然稍显逊色,你设置的密码不需要反应你的个人喜好,最重要的功能是要保护网站安全。
使用一个由阿拉伯数字、字母和特殊字符构成的长度在10个字符以内的密码会是比较好的选择,一些app如Lastpass,KeePass会帮助你设计强度比较高的密码并且帮助存储。
4. 保护管理员邮件地址的安全:
尽量使和你网站关联的电子邮件地址(即管理员邮件地址)远离公众视野,在网页上使用一个完全无关的地址。有助于免受钓鱼网站的欺骗。
5. 为数据库表添加前缀:
如果你正在使用CMS、博客或论坛,修改默认的数据表前缀。例如使用WordPress建立的数据表默认的前缀是“wp”,如果一个顶级的黑客找到方法从数据库中提取数据,默认的表前缀会造成很大的损失。
6. 使用数据库并保护数据库的密码:
不要把敏感信息存储在你的网站上的一个文件中,使用一个数据库来存储和保护你的用户的敏感信息免受黑客攻击。一些应用程序提供的选项,使用服务器硬盘或数据库来存储会话信息。
数据库密码不是一个强制性的要求,如果它是空的仍然可以安装脚本,但是拥有一个数据库密码不会减缓数据库的访问速度,因此没有理由不创建一个。
如果您正在使用SSH或多个FTP帐户,为每个帐户使用不同的密码,定期更改它们。如果你所有的MySQL数据库,FTP帐户,CMS和其他账户都使用相同的密码,黑客很容易获取你的密码,迅速破坏你的网站。
7. 保持你的网站简洁:
电子邮件帐户、FTP帐户和其他未使用的应用程序,如果没有被使用,应该删除。寻找任何不需要的文件进行删除,额外的文件使备份需要更长的时间。最重要的是,如果一个脚本没有在你的网站上被使用,尽快删除它,黑客喜欢利用过时的脚本进行攻击。
同时请删除安装文件,一旦安装完后,网站操作的日常操作中便不再需要安装文件。黑客很有可能重新运行安装程序,情况数据库,控制网站和内容。最理想的就是一旦安装完成后就删除安装文件,你也可以选择重命名文件夹。
8. 修改文件(夹)权限:
当安装时一些软件要求读写权限,这可以通过使用特殊的文件夹如config,admin配置使用777代码完成。恢复默认访问权限需要的代码为755或644。拥有读写权限的文件夹可以轻易地访问并修改网站的代码。
确保你的适当权限设置为只读文件,你什么时候改变权限必须小心。通常内容管理系统有效运作,需要特定权限。在更改任何权限之前,注意当前的权限,可以很容易的截图。 如果该网站停止运转,你可能改变了不该改变的许可。
9. 使用安全的FTP访问:
如果你的网站或互联网服务提供商(ISP)支持SFTP,那么上传文件到你的服务器吧,因为没人可以看到你上传、下载的内容。
10. 限制访问根目录:
除了管理员外的人,永远不要给外人FTP或数据库的操作权限。
有恶意软件和病毒,目的是利用FTP程序,访问您的网站文件。 保护你的电脑免受病毒、间谍软件,恶意软件,黑客攻击是至关重要的。 确保您安装可靠的反病毒程序,有能力跟踪入侵者。 如果你不使用互联网时,请及时断开,以防止黑客访问您的系统。
11. 确保存在.htaccess文件:
.htaccess文件被用来为特定的目录指定安全限制,确保你没有意外地删除特定目录或者判断它是否是第一次出现。
12. 添加robots.txt文件:
robot.txt文件为搜索引擎提供特殊的指示如哪些文件已经被索引了,哪些没有。文档、图像文件可以被隐藏在包下避免被搜索到,也避免了在网络上显示。
13. 使用安全插件:
安装内容管理系统,如Joomla、WordPress和Drupal是常用的简单和易于使用的接口。然而,如果黑客知道版本时他们可以利用漏洞,来访问你的网站。因此,在可能的情况下,隐藏你的浏览器插件,使其难以识别CMS您使用的是什么,并选择安全的插件扩展功能。成熟的平台都会有插件扩展功能。安全插件为网站提供了一层额外的保护膜。例如,在安装WordPress时,WP Security Scan插件会检查上面提到的步骤是否已经实施。
14. 浏览顶尖技术博客:
要时刻了解互联网最新出现的漏洞和攻击信息。由于补丁发布有延迟,所以这些信息会帮助你在严重攻击出现时下线从而确保网站安全。Wired’s Threat Level和Kreb’s on Security是两个顶级的技术博客。
15. 远离不知名的脚本或主题:
所有的盗版中商业盗版和付费主题是最简单的。文件越小,缺少特定版本的软件,没有DLL补丁,这样的软件遇到攻击的可能性自然比正规的软件大。
16. 定期备份
您的主机提供商告诉你,会进行定期备份,但你永远不应该依赖于这些服务,来保护在你的网站上的信息。 在使用主机提供商的备份的同时,也要确保创建和维护自己的离线备份。,确保您能随时下载任何你的网站需要的数据库信息。
17.主机提供商
选择一个好的主机提供商可以提升你的网站的安全性,并不是所有的主机提供商都提供相同级别的安全,所以你应该尽可能选择值得信赖的,有技术支撑强大的主机提供商,比如必盛互联。
18. SSL证书
虚拟主机提供不安全的环境,使得黑客有可能从你的网站访问和窃取数据。如果你没有安装SSL证书,黑客可能会收集信用卡或个人信息。
