13454735035 cc@jiuwu95.com
网页设计

如何保护您的网站_网页设计制作 (1)

网站安全的重要性不容忽视。在本节中,我们将回顾如何保护和保护您的网站。这不是一个循序渐进的指南,但它将为您提供指导,帮助您找到适合您需求的服务。–网页设计

更新一切

由于过时和不安全的软件,每天都有无数网站受到威胁。

一旦有新的插件或 CMS 版本可用,更新您的网站非常重要。这些更新可能只包含安全增强功能或修补漏洞。

大多数网站攻击都是自动化的。机器人不断扫描每个站点,寻找任何利用机会。每月更新一次甚至每周更新一次已经不够用了,因为机器人很可能会在你修补之前发现漏洞。

这就是为什么您应该使用网站防火墙的原因,它会在更新发布后立即修补安全漏洞。

如果您有一个 WordPress 网站,您应该考虑的一个插件是WP Updates Notifier–网站建设当插件或 WordPress 核心更新可用时,它会通过电子邮件通知您。

有强密码

拥有一个安全的网站很大程度上取决于您的安全状况。您有没有想过您使用的密码会如何威胁您的网站安全?

为了清理受感染的网站,补救者需要使用他们的管理员用户详细信息登录到客户的站点或服务器。他们可能会惊讶地发现 root 密码有多不安全。使用像 admin/admin 这样的登录名,您可能根本就没有任何密码。

网上有很多破解密码的列表。黑客会将这些与字典单词列表结合起来,生成更大的潜在密码列表。如果您使用的密码在其中一个列表中,那么您的网站遭到入侵只是时间问题。

强密码最佳实践

拥有强密码的最佳做法是:

  • 不要重复使用您的密码:您拥有的每个密码都应该是唯一的。密码管理器可以使这更容易。
  • 有长密码:尝试超过 12 个字符。密码越长,计算机程序破解它的时间就越长。
  • 使用随机密码:如果密码破解程序包含在网上或字典中找到的单词,密码破解程序可以在几分钟内猜出数百万个密码。如果您的密码中有真实的单词,则它不是随机的。如果您可以轻松说出您的密码,则表明它不够强大。即使使用字符替换(即用数字 0 替换字母 O)也是不够的。有几个有用的密码管理器,例如LastPass(在线)和KeePass 2(离线)。这些工具以加密格式存储您的所有密码,只需单击按钮即可轻松生成随机密码。密码管理器通过消除记忆较弱密码或记下它们的工作,使使用强密码成为可能。

一个站点 = 一个容器

在单个服务器上托管多个网站似乎很理想,特别是如果您有“无限”网络托管计划。不幸的是,这是您可以采用的最糟糕的安全做法之一。在同一位置托管多个站点会产生非常大的攻击面。

您需要知道跨站点污染非常普遍。当一个站点由于服务器或帐户配置上的隔离不佳而受到同一服务器内的相邻站点的负面影响时。

例如,包含一个站点的服务器可能安装了一个带有主题和 10 个插件的 WordPress,这些插件可能会成为攻击者的目标。如果您现在在一台服务器上托管五个站点,攻击者可能会安装三个 WordPress、两个 Joomla 安装、五个主题和 50 个可能成为潜在目标的插件。更糟糕的是,一旦攻击者在一个站点上发现了漏洞,感染很容易传播到同一服务器上的其他站点。

这不仅会导致您的所有网站同时被黑客入侵,还会使清理过程更加耗时和困难。受感染的站点可以继续相互重新感染,从而导致无限循环。

清理成功后,您现在有一个更大的任务来重置您的密码。您不仅拥有一个站点,还拥有多个站点。感染消失后,必须更改与服务器上每个网站关联的每个密码。

这包括每个网站的所有 CMS 数据库和文件传输协议 (FTP) 用户。如果您跳过此步骤,则所有网站都可能被重新感染,您必须重新启动该过程。

限制用户访问和权限

您的网站代码可能不会成为攻击者的目标,但您的用户会成为目标。记录 IP 地址和所有活动历史记录将有助于以后的取证分析。

例如,注册用户数量的大幅增加可能表明注册过程失败,并允许垃圾邮件发送者用虚假内容充斥您的网站。

最小特权原则

小特权原则围绕着一个旨在完成两件事的原则:

  • 使用系统上的最小权限集来执行操作
  • 仅在需要执行操作时授予这些权限

授予特定角色权限将决定他们可以做什么和不能做什么。在一个完美的系统中,角色将阻止任何试图执行超出其设计目的的操作的人。

例如,假设管理员能够将未过滤的 HTML 注入帖子或执行命令来安装插件。这是一个漏洞吗?不,这是一项功能,基于一个非常重要的元素——信任。

但是,作者是否应该具有相同的权限和访问权限?考虑基于信任的单独角色,并锁定所有帐户。

这仅适用于具有多个用户或登录名的站点。每个用户都拥有完成工作所需的适当权限,这一点很重要。如果暂时需要升级权限,请授予它。然后在工作完成后减少它。

例如,如果有人想为您写一篇访客博客文章,请确保他们的帐户没有完全的管理员权限。该帐户应该只能创建新帖子和编辑自己的帖子,因为他们不需要能够更改网站设置。

仔细定义用户角色和访问规则将限制可能犯的任何错误。它还可以减少被盗帐户的影响,并可以防止流氓用户造成的损害。

这是用户管理中经常被忽视的部分:问责制和监控。如果多人共享一个用户帐户并且该用户进行了不需要的更改,您如何找出团队中的哪个人负责?

一旦您为每个用户设置了单独的帐户,您就可以通过查看日志并了解他们通常的倾向(例如他们通常何时何地访问该网站)来密切关注他们的行为。这样,如果用户在奇数时间或从可疑位置登录,您就可以进行调查。

保留审核日志对于掌握网站的任何可疑更改至关重要。审核日志是记录网站事件的文档,以便您可以发现异常情况并与负责人确认该帐户没有被盗用。

当然,某些用户可能很难手动执行审计日志。如果您有 WordPress 网站,则可以使用 Sucuri 的免费安全插件,该插件可从官方 WordPress 存储库下载。

文件权限

文件权限定义了谁可以对文件执行什么操作。每个文件都有三个可用的权限,每个权限由一个数字表示:

  • 读取(4):查看文件内容
  • 写入(2):更改文件内容
  • 执行(1):运行程序文件或脚本

本文由宁波久五网络原创分享