当下,互联网上有超过10亿个网站,作为这些网站中的其中一个拥有者,你可能认为网络犯罪分子不太会瞄准你的网站。然而,在回答这一问题之前,让我们先花点时间来思考一下网站对你意味着什么。
作为一个个人,你可能拥有一个个人博客,或者甚至是一个你认为可以忽视的微小的在线业务。所有事物都有价值,即使是一个微小的网站也保存有一些数据。或许是你在所有在线账户中使用的登录名和密码?如果你拥有一个小型公司,你的网站就代表着你的品牌和声誉,同时,网站所保存的大量具有价值的信息不仅是属于你的,也是属于你的客户的。
如果你阅读过《福布斯》,《经济学人》以及其他互联网安全公司的文章,那么你就很有可能已经意识到了“数据是新石油”这种说法。数据已然成为了当下最宝贵的互联网资产之一,如同其他事物一样,它也会遭到盗窃或可以进行交换。
网络犯罪分子不会在意你的网站是否微小,他们只会使用免费的工具来测试他们所遇到的每个网站,从而达到收集信息的目的。如果他们不能使用该信息,他们总是会把它卖给其他可以使用的人。
因为我们中的大多数人并不在物理上拥有和维护将自身网站托管在其上的设备,所以我们将从网站安全的非物理方面考虑。这包括两个主要的领域:1)保护网站自身和2)保护你的客户向你提供的数据。记住,访问你的网站的所有人都应该看作是一个客户,而不只是这些从你那里购买产品的人。
1. 将脚本和工具更新到最新版本
确保你的网站平台和其他所有你正在运行的脚本是最新的。人类所知的每一种软件在发布时都有漏洞,并且可能也会有安全漏洞。甚至是这些不断进行更新的软件,也不例外。只需要一个漏洞,网络犯罪分子便能够获取访问权限。通过确保你执行了常规的更新,安全漏洞被利用的概率就能够得到降低。
对于那些使用开源网站工具的人来说,这尤其重要。由于其本身的性质,开源工具本身是很容易被利用的。为了防止出现这种情况,你可以使用多种工具来帮助进行检查。
Scan My Server(扫描我的服务器)能够提供免费的安全测试服务。你只需要输入网站链接,它就能帮助你扫描安全漏洞,如跨站点脚本、SQL诸如和许多其他漏洞。第一个网站你可以免费扫描,但如果网站不只一个,那么就会包括少量的费用。
尽管这种工具的限制性很大,但另一种选项是Web Inspector。Web Inspector能够帮助扫描可能会感染代码的恶意软件。不幸的是,它每次只能扫描一个页面。然而,这款工具是相当好的,因为它是由安全公司COMODO研发的,而后者是互联网安全解决方案的专家。
2. 使用安全的密码
我甚至不记得这个问题已经出现过多少次了,但是出于某种原因,很多用户都使用的是简单的密码,网络罪犯分子只要想知道都可以猜测出来。
现在,黑客工具如此复杂,以至于过去的6位数字密码现在似乎是一个笑话了。因此,想一个包括大写和小写字母、特殊字符和数字的密码吧。如果你真的记不住你的密码,试着使用密码管理器来帮助记忆吧。
但要再次注意,密码管理器也是应用程序,因此也有可能被攻击。
3. 使用HTTPS和SSL
许多人仍旧没有意识到HTTP和SSL,但作为一个网站拥有者,这些是十分重要的。
对于那些正在为客户运行在线业务或执行各种在线交易的人来说,SSL并不是可选的。SSL数字证书可以从多种渠道获取,但是最好的方式是从诸如DigiCert那样的有信誉的提供商那里获取。同时许多诸如必盛那样的虚拟主机提供商也可以以第三方分销商的身份,将它们出售给你。
如果你刚刚开始,让你的虚拟主机提供商知道你打算建立一个电子商务网站吧。因为他们将很有可能拥有一个完整的套餐,该套餐包括了所有你需要的东西。点击这里,查看必盛所有的网站主机。
顺便说一下,即使你不会运行一个电子商务网站,当下的网络公司也会要求确保安全性。
比如,谷歌现在就在将HTTPS作为一个排名因素。通过这样做,他们就能够帮助确保那些使用了其搜索引擎的人被重定向到真实和安全的网站。
4. 备份你的文件
不管我们采取何种措施,墨菲定律总是有可能发生,尽管这十分糟糕,但提前做好准备总是有帮助的。至少进行两类备份是十分理想的,一个是在线的,一个是离线的。关键在于备份数据,因此假使出现攻击或者文件损害事件,业务还能持续运转。记住,这也适用于数据库中的信息,而不仅仅只是网站文件。
Ps.如果你是必盛虚拟主机用户,你可以很容易地利用Plesk控制面板快速地执行网站备份或者设定计划备份。
5. 保护客户信息安全
当下数字时代中,技术取得了巨大的进步,但这也意味着随着人们进行数字化,他们的个人信息比以往任何时候都要更多地移动互联网上。作为一家企业,你的责任是尽可能地确保你能帮助他们保持其分享给你的信息的私密性和安全性。这不仅包括诸如信用卡号等的支付信息,还包括姓名、身份证号码等个人信息。
这就是我们之前讨论的关于SSL的部分内容。SSL(安全套接层)能够在信息从一点传送到另一点时确保它的安全。不幸的是,SSL只能确保传送安全。你还必须确保它到达你的网站后安全。
如果可能,在不需要的情况下,不要存储敏感数据。
因为这几乎是不可能的,所以这就是加密的用武之地。一些诸如WordPress等的平台都为用户账户和其他信息提供了密码加密。但这是基本的方法,而不是理想的方法。
如果你在自我拥有的服务器上托管有属于你自己的网站,那么你可以使用多种方式来设置加密。而对于那些租用服务器空间的人来说,就必须依赖于他们的主机提供商。
总结
从简单的DIY安全修复到专门的网络安全公司,对于网站拥有者来说,现在有如此多的选项,以至于说实话,忽视这个问题便是刑事过失。高昂的价格问题也已成为过去,现在,几乎所有的企业应该都负担得起至少是基本的安全解决方案。
最重要的是,从你的虚拟主机开始,因为这是你的网站的基本平台。确保你选择的主机能够向你提供正确的工具,而不只是关注最便宜的选项。
