作为一个网站的拥有者,还有什么比看到自己所有的作品被恶意黑客篡改或者彻底毁掉更可怕的吗?我们经常在新闻里看到数据泄露、黑客入侵的新闻。很多人可能想知道为什么有人会入侵我的小企业网站,但黑客不会只发生在大人物身上。一份报告发现,43%的数据泄露受害者是小型企业。网站所有者为网站付出了很多努力,所以花时间用这些基本的入侵防御技术来保护网站是很重要的。
保护网站免受黑客攻击的五个简单步骤
当你开始阅读这篇文章时,可能有人会担心会有很多普通网站站长会感到困惑的专业术语。但实际上,只有部分技能需要开发者操作。
你可以自己做几件事,不需要那么多技术诀窍。
步骤1:安装安全性插件。
如果您使用内容管理系统来构建网站,您可以使用安全插件来增强网站,并防止黑客独立尝试这样做。每个主要的CMS选项都有可用的安全插件,其中许多是免费的。
WordPress安全插件:
iThemes安全
防弹安全
苏库里
文字围栏
失败2班
Magento的安全软件:
阿马斯蒂
手表日志专业版
Joomla的安全扩展:
杰克手表
琼德芬德
RS防火墙
防病毒网站保护
这些工具解决了每个平台固有的安全漏洞,并防止可能威胁网站的其他类型的黑客攻击。
另外,所有的网站,无论是运行CMS管理的网站还是HTML页面,都可以考虑使用SiteLock。SiteLock不仅仅是简单的清除网站的安全漏洞。它提供从恶意软件检测到漏洞识别到主动病毒扫描的日常监控。如果企业依托其网站,SiteLock绝对是一个值得考虑的投资。
注意:WordPress托管计划有内置的SiteLock以及其他功能来帮助保护网站。
第二步:使用HTTPS。
作为消费者,很多人可能已经知道,在向网站提供敏感信息时,一定会确认网站在浏览器栏中是否有绿锁图标和https网址。这五个字母是网站安全的重要缩写:它们表明在特定网页上提供财务信息是安全的。
SSL证书很重要,因为它保证了网站和服务器之间信息传输的安全性——比如信用卡、个人数据和联系方式。
虽然SSL证书一直是电子商务网站必不可少的,但最近拥有SSL证书对所有网站来说都变得非常重要。谷歌在2018年发布了Chrome更新。安全更新于7月发布,如果网站没有安装SSL证书,它会提醒网站访问者。这使得访问者更有可能弹出网站,即使这些网站不收集敏感信息。
搜索引擎比以往任何时候都更加重视网站安全,因为他们希望用户在浏览网页时有一个积极安全的体验。如果没有SSL证书,网站在搜索引擎的搜索结果中排名会靠后。
这对企业意味着什么?如果你想让人们信任一个品牌,你需要投资SSL证书。SSL证书的成本非常低,但它为客户提供的额外加密级别大大提高了网站的安全性和可靠性。
HostGator也非常重视网站的安全性,但最重要的是,我们想让访问者更容易获得安全性。所有HostGator虚拟主机都附带免费的SSL证书。SSL证书将自动应用于客户的网站,但在网站上安装免费的SSL证书需要几个步骤。
第三步:保持网站平台和软件的更新。
将CMS与各种有用的插件和扩展一起使用提供了许多好处,但也带来了许多风险。网站感染的主要原因是内容管理系统可扩展组件的漏洞。
因为这些工具中的许多是作为开源软件程序创建的,所以它们的代码很容易被访问——无论他们是善意的开发者还是恶意的黑客。黑客会仔细研究这些代码,寻找安全漏洞,利用这些平台或脚本漏洞控制网站。
为了保护网站免受黑客攻击,请始终确保内容管理系统、插件、应用程序和任何已安装的脚本都是最新的。
如果你运行的是WordPress网站,你可以在登录WordPress仪表盘时快速检查各种工具的版本。在网站名称旁边的左上角查找更新图标。点击数字访问WordPress更新。
第四步:确保你的密码安全。
这看起来很简单,但是很重要。
因为人们希望使用简单易记的密码。这就是为什么最常用的密码是123456。必须使用更好的密码——防止黑客和其他外来者试图登录。
尽量选择一个真正安全的密码。让它变长。混合特殊字符、数字和字母。避免使用可能容易猜到的关键词,如生日或孩子的名字。如果黑客通过某种方式获得了其他相关信息,他们会根据这些信息做出猜测。
第一步是遵守密码安全的高标准。您还需要确保每个访问网站的人都有一个类似的强密码。团队中的弱密码可能会使网站容易受到数据泄漏的影响。因此,所有拥有访问权限的人都必须设置强密码。
要求所有网站用户的密码长度和字符类型。如果员工想为他们不太安全的账户使用简单的密码,那是他们的事。但对于网站来说,这是商业,可以制定更高的标准。
第五步:投资自动备份。
即使做到了以上所有,还是有风险的。网站入侵最糟糕的情况是你忘记备份你的网站,失去了你所有的努力。保护您网站的最佳方式是确保您有最新的备份。
虽然数据泄露无论如何都会带来压力,但是有了当前备份,恢复数据就容易多了。网站所有者可以养成每天或每周手动备份网站的习惯。然而,如果有一丁点忘记的可能,就投资自动备份。这是一种廉价的购买安心的方式。
保护网站免受黑客攻击的五个高级步骤
以上所有步骤都相对容易,即使对于技术经验不多的网站主也是如此。这个列表的后半部分变得有点复杂,可能需要打电话给开发人员或IT顾问来帮助解决问题。
第六步:当网站收到上传的文件时,采取预防措施。
当任何人都可以选择向网站上传某些内容时,他们可能会滥用这一特权,加载恶意文件,覆盖对网站重要的现有文件,或者上传导致整个网站崩溃的大文件。
如果可能的话,只要不接受任何通过网站上传的文件。许多小型企业网站根本不提供上传文件的选项,从而避免了这种风险。如果是这样,您可以跳过这一步中的所有内容。
但是拒绝上传文件并不是所有网站的选项。一些类型的企业,如会计师或医疗保健提供商,需要为客户提供一种安全地提供文档的方法。
如果您需要允许上传文件,请采取几个步骤来确保您的安全:
创建允许文件扩展名的白名单。通过指定可以接受的文件类型,可以排除可疑的文件类型。
使用文件类型验证。黑客试图通过重命名扩展名不同于实际文档类型的文档,或者在文件名中添加点或空框来绕过白名单过滤器。
设置最大文件大小。通过拒绝任何大于特定大小的文件来避免分布式拒绝服务攻击。
扫描文件中的恶意软件。打开前,请用杀毒软件检查所有文件。
上传后自动重命名文件。当黑客寻找文件时,如果文件名不同,他们将无法再次访问该文件。
将上传文件夹放在webroot之外。这使得黑客无法通过他们上传的文件访问网站。
这些步骤可以消除大多数允许文件上传到网站的固有漏洞。
步骤7:使用参数化查询。
SQL注入是网站最常见的黑客攻击之一,许多网站都深受其害。
如果有允许外部用户提供信息的电子表格或URL参数,SQL注入可以工作。如果您将字段的参数设置得过于开放,有人可能会插入允许您访问数据库的代码。保护网站不受这种影响是非常重要的,因为数据库可能包含许多敏感的客户信息。
有许多步骤来保护网站免受SQL注入;其中,最重要也最容易实现的就是使用参数化查询。使用参数化查询可以保证代码有足够的特定参数,让黑客无法篡改。
第八步:使用CSP。
跨站点脚本攻击是站点所有者必须警惕的另一个常见威胁。黑客已经找到了一种方法,将恶意的Javascript代码滑到页面上,然后他们可以感染任何接触到这些代码的网站访问者的设备。
保护网站免受XSS攻击类似于SQL注入的参数化查询。确保网站上使用的任何允许输入的功能或字段的代码在允许的范围内尽可能清晰,这样就不会有空的空间来插入任何内容。
内容策略是另一个方便的工具,可以帮助保护您的网站免受XSS攻击。CSP允许您指定网页上的浏览器应该允许哪些可执行脚本的有效域。浏览器将知道不要关注任何可能感染网站访问者计算机的恶意脚本或恶意软件。
使用CSP需要在网页中添加一个合适的HTTP头,它提供一系列的指令来告诉浏览器哪些域没有问题,或者发现任何异常。点击此处了解更多关于为网站制作CSP标题的信息。
第九步:锁定目录和文件权限。
所有的网站都可以归结为一系列的文件和文件夹,它们存储在一个虚拟主机账户中。除了包含使网站正常运行所需的所有脚本和数据之外,还为每个文件和文件夹分配了一组权限。这些权限控制属于那些可以读取、写入和执行任何给定文件或文件夹的用户或组。
在Linux操作系统上,权限可以看作是三位数的代码,其中每一位都是0到7之间的整数。第一个数字代表文件所有者的权限,第二个数字代表分配给拥有该文件的组的任何人,第三个数字代表其他所有人。任务如下:
4等于读书。
2等于编辑
1等于执行。
0表示用户没有权限。
比如以权限代码“644”为例。在本例中,第一个位置的“6”赋予文件所有者读写文件的能力。第二和第三个位置的“4”表示组用户和互联网用户都只能读取文件,从而保护文件免受意外操作。
因此,具有“777”权限的文件可以被用户、组和世界上的任何人读取、写入和执行。
正如所料,分配了权限代码的文件使网络上的任何人都可以编写和执行它,其安全性远远低于被锁定并只为所有者保留所有权利的文件。当然,网站所有者有充分的理由向其他用户群开放访问,但必须仔细考虑这些情况,以避免网站出现任何安全风险。
因此,最好按如下方式设置权限:
文件夹和目录=755
单个文件=644
如果要设置文件权限,请登录cPanel的文件管理器或通过FTP连接到服务器。输入后,您将看到现有文件权限的列表:
此示例中的最后一列显示了当前分配给网站内容的文件夹和文件权限。如果您想在Filezilla中更改这些权限,只需右键单击有问题的文件夹或文件,然后选择“文件权限”选项。这将打开一个界面,允许操作员使用一系列复选框分配不同的权限:
尽管虚拟主机或FTP程序的后端可能看起来略有不同,但更改权限的基本过程是相同的。支持门户提供了关于如何使用chmod权限修改文件夹和文件权限的解决方案。
步骤10:错误信息简洁明了。
详细的错误消息有助于在内部识别问题,从而知道如何解决问题。但当这些错误信息显示给外部访问者时,它们可能会泄露敏感信息,并告诉潜在的黑客网站漏洞的确切位置。
对错误消息中提供的信息要非常小心,以免给黑客提供任何有用的信息。让错误消息足够简单,以避免无意中透露太多信息。而且还要避免歧义,这样访问者仍然可以从错误消息中了解到足够的信息,知道下一步该做什么。
保护电子商务商店免受黑客攻击的三个步骤
到目前为止,我们分享的所有提示将有助于保护在线商店免受犯罪分子的侵害。尽管如此,由于电子商务网站是欺诈者和数据窃贼的常见目标,因此需要采取额外的措施来保护企业和客户。
第一步:为店铺获取第三方防欺诈服务,即使电商平台或支付提供商提供防欺诈服务。
如果已经免费获得电商欺诈保障,为什么还要额外付费?因为这种额外的保护层可以节省时间,并有助于避免因失误而错过好订单。
许多电子商务平台提供的欺诈保护在识别高欺诈风险订单方面发挥了巨大作用。这些订单确定后,能做的是:全部否决,或者审核,再决定批准哪些。
这两种选择都有各自的风险。拒绝每一个可能是欺诈的订单,很多好订单可能因为一些小问题被拒绝,比如发货和账单地址不匹配或者国外地址。很多被拒绝的客户是不会回头的,所以随着时间的推移,自动拒绝会损失很多收益。然而,审查有风险的订单需要时间和专业知识,而企业主可能不具备这些。
提供人工审查的第三方服务允许专家查看具有高欺诈风险的订单,拒绝实际的欺诈企图,并确定良好但似乎不可靠的订单。避免欺诈,让好客户的资金源源不断的流入。
第二步:设置一些交易限制来防范欺诈攻击。
犯罪分子可以很容易地在网上获得被盗的信用卡号码,并用它们来购买商品进行转售。但很多时候,这些卡号缺少最重要的CVV,即支付处理器完成交易所需的卡上的三四位数字。
信用卡诈骗犯会怎么做?在很多情况下,他们会进行所谓的卡测试:访问一个结账安全薄弱的小网店,在购物车中添加一些小东西,不断尝试不同的cvv,直到找到一个与他们试图使用的被盗卡号相匹配的卡号。
看啊!他们的订单被批准了,他们可以去其他地方购买他们真正想要的高价商品,而企业主则被勒索。
现在,想象一下,一个僵尸网络只在几分钟内对数百或数千次CVV匹配尝试进行卡片测试,这样他们就可以更快地实施更多欺诈。其实你不用想象,因为卡测作弊僵尸网络是一个东西,他们会让企业在诈骗损失和返还费用上损失很大。
为了防止诈骗机器人冒充买家结账,设置一些限制。
调整欺诈控制程序的设置,以限制客户可以尝试输入正确CVV的次数,同时如果拒绝次数过多,则阻止其IP地址。
对同一IP地址在一小时、一天、一周等时间内的交易次数进行限制。,并阻止超过此限制的地址。
跟踪被拒绝的交易数量,并立即调查交易数量是否激增。
步骤3:理解PCI-DSS需求和最佳实践。
PCI-DSS是支付卡行业的数据安全标准。每一个接受信用卡支付的商家都必须遵守本指南,避免暴露客户的支付数据,承担责任。
在任何网站上进行支付的任何支付平台、处理器或网关都应该遵守PCI-DSS,这减少了保护支付数据安全所必须采取的一些步骤。但是,最终了解基本要求是企业的责任。查看PCI安全标准委员会的免费资源也很有帮助。一个很好的切入点是针对商家的数据安全要素评估工具,可以显示网站哪些方面更安全,也可以对一些需要加强的方面提出建议。
保护网站免受黑客攻击。
从长远来看,保护网站和学习如何防止黑客是保持网站健康和安全的重要组成部分!迅速采取这些重要的步骤。
HostGator创建了一套自定义的mod安全规则,可以帮助网站所有者保护他们的网站。如果你正在寻找一个新的虚拟主机提供商,你可以点击这里注册和交易。对于新账户,我们甚至会免费提供迁移服务!创建您的帐户后,只需填写这里的表格。
过程中不要担心任何问题。请阅读HostGator支持文章或联系客户支持专家,他们可以通过聊天或电话提供全天候服务。我们可以帮助所有读者获得安全!
