首页 关于我们 项目案例 网站建设 网站优化 微信公众号 技术课堂 联系方式
QQ联系点击这里给我发消息
电话联系
手机联系
QQ联系点击这里给我发消息
电话联系
手机联系
【当前位置】

网站如何保护,不被攻击?

发布时间:2019-05-26 09:09
发布者:康康
浏览次数:
作为一个网站所有者,还有什么比看到你的所有工作被一个邪恶的黑客改变或完全消灭的想法更令人恐惧?
 
您已经在您的网站(以及您的品牌)上努力工作 - 所以花点时间用这些基本的黑客保护技巧保护它是很重要的!本文还将教您如何检查网站是否安全以及您可以采取哪些措施来确保您的网站完全来自黑客。
 
除了定期备份您的文件(由于各种原因您应该已经这样做)之外,采取以下七个简单步骤将有助于保护您的网站免受黑客攻击:
 
推荐的WordPress主机
 
 
 

步骤1:尽可能安装安全插件

一旦您更新了所有内容,通过积极防止网站黑客攻击的插件进一步增强您的网站安全性。
 
再次,使用WordPress作为示例,您将需要查看免费安全插件,如iThemes Security和Bulletproof Security(或可用​​于在其他内容管理系统上构建的网站的类似工具)。这些产品解决了每个平台固有的安全漏洞,挫败了可能威胁到您网站的其他类型的黑客攻击。
 
或者 - 无论您是运行CMS管理的站点还是HTML页面 - 请查看SiteLock。SiteLock通过提供从恶意软件检测到漏洞识别到主动病毒扫描等各方面的日常监控,从而简化了网站安全漏洞。如果您的业务依赖于其网站,SiteLock绝对是值得考虑的投资。
 
注意:我们的  托管WordPress托管计划内置了SiteLock,以及其他有助于保护您网站的功能。
 
HostGator SiteLock恶意软件防护
 

第2步:使用HTTPS

作为消费者,您可能已经知道,只要您向网站提供敏感信息,就始终在浏览器栏中查找绿色https。大多数消费者都知道将这五个小字母视为黑客安全的重要简写:它们表明在该特定网页上提供财务信息是安全的。
 
PayPal SSL证书
 
在2018年7月,Google Chrome发布了一项安全更新,如果您的网站没有安装SSL证书,则会向网站访问者发出警报。SSL证书很重要,因为它可以保护您的网站和服务器之间的信息传输 - 例如信用卡,个人数据和联系信息。搜索引擎比以往更加重视网站安全,因为他们希望用户在浏览网页时拥有积极和安全的体验。如果您没有SSL证书,搜索引擎可能会进一步将您的网站排在搜索结果中。
 
这对你意味着什么?如果您有在线商店,或者您的网站的任何部分要求访问者移交敏感信息(如信用卡号),您需要投资SSL证书。SSL证书的成本很低,但它为您的客户提供的额外加密级别对于使您的网站更安全和更值得信赖非常有用。
 
在HostGator,我们也非常重视网站安全,但最重要的是,我们希望让您更加安全。所有HostGator网络托管包都附带免费的SSL证书。SSL证书将自动应用于您的帐户,但需要采取一些步骤在您的网站上安装免费的SSL证书。 
 

第3步:让您的网站平台和软件保持最新状态

保护您的网站免受黑客攻击的最佳方法之一是确保您安装的内容管理系统,插件和应用程序或脚本是最新的。因为许多这些工具都是作为开源软件程序创建的,所以它们的代码很容易被访问 - 对于善意的开发人员和恶意黑客都是如此。黑客可以查看这些代码,寻找安全漏洞,允许他们通过利用任何平台或脚本漏洞来控制您的网站。
 
例如,如果您运行的是基于WordPress构建的网站,则您安装的基本WordPress安装和任何第三方插件都可能容易受到这些类型的网络攻击。确保始终安装最新版本的平台和脚本可以最大限度地降低以这种方式被黑客入侵的风险,并且通常只需要很少的时间。
 
WordPress用户登录WordPress仪表板后可以快速查看。查找站点名称旁边左上角的更新图标。单击该数字以访问您的WordPress更新。
 
检查WordPress更新
 
 
 

步骤4:确保您的密码安全

这个看起来很简单,但它非常重要。
 
使用密码很有吸引力,你知道密码总是很容易记住。这就是为什么#1 最常见的密码仍然是123456.你必须做得更好 - 比防止黑客和其他外人登录尝试要好得多。
 
努力找出真正安全的密码(或使用HostGator的密码生成器)。  做多久。混合使用特殊字符,数字和字母。并避开可能易于猜测的关键字,如您的生日或孩子的名字。如果黑客以某种方式获取有关您的其他信息,他们会先知道这些信息。
 
密码生成器
 
您还希望确保有权访问您网站的所有人都拥有类似的强密码。学院要求人们需要使用的长度和字符类型,因此他们必须获得更多的创造性,而不是使用标准的,简单的密码,他们转向不太安全的帐户。创建强密码可以防止黑客获得对您帐户的访问权限。
 
您团队中的一个弱密码可能会使您的网站容易受到数据泄露的影响,因此请每个有访问权限的人设置期望并保持相同的高标准。
 
 
 

步骤#5:使用参数化查询

最常见的网站攻击之一是许多网站成为SQL注入的受害者。
 
如果您有一个允许外部用户提供信息的Web表单或URL参数,则SQL注入可以发挥作用。如果将字段的参数保持为太开放,则有人可以在其中插入允许访问数据库的代码。由于可以在数据库中保存的敏感客户信息量,保护您的站点不受此影响非常重要。
 
这里有一些步骤  ,你可以采取的防止SQL注入黑客您的网站; 最重要和最容易实现的一个是使用参数化查询。使用参数化查询可确保您的代码具有足够的特定参数,以便黑客无法搞砸它们。
 
 
 

步骤#6:使用CSP

与SQL注入类似,跨站点脚本(XSS)攻击是站点所有者必须注意的另一个常见威胁。当黑客找到将恶意JavaScript代码放到您的页面上的方法时,就会发生这种情况,然后这些代码会感染您网站上任何访问该代码的访问者的页面。
 
保护您的站点免受XSS攻击的部分斗争类似于您用于SQL注入的参数化查询。您应该确保您在网站上使用的任何代码允许输入的功能或字段尽可能明确,因此您不会留下任何可以插入的空间。
 
另一个有助于保护您的网站免受XSS攻击的便利工具是内容安全策略(CSP)。CSP允许您指定浏览器在页面上应考虑有效可执行脚本源的域,因此浏览器知道不要注意可能感染您站点访问者计算机的任何恶意脚本或恶意软件。
 
使用CSP只需要在您的网页上添加正确的HTTP标头,该标头提供一系列指令,告诉浏览器哪些域可以使用以及规则的任何例外。您可以在此处找到有关如何为Mozilla提供的网站制作CSP标题的详细信息。
 
 
 
 
 

步骤#7:锁定目录和文件权限

现在,对于这个最后的技术,我们将获得一点技术 - 但坚持我们。
 
所有网站都可以归结为存储在您的网络托管帐户中的一系列文件和文件夹。除了包含使您的网站工作所需的所有脚本和数据之外,每个文件和文件夹都分配了一组权限,用于控制谁可以读取,写入和执行任何给定文件或文件夹,相对于用户或他们所属的群体。
 
在Linux操作系统上,权限可以作为三位数代码查看,其中每个数字是0-7之间的整数。第一个数字表示文件所有者的权限,第二个数字表示分配给拥有该文件的组的任何人的权限,第三个数字表示其他所有人的权限。分配的工作方式如下:
 
4等于读
2等于写
1等于执行
0等于该用户没有权限
例如,取许可代码“644”。在这种情况下,第一个位置的“6”(或“4 + 2”)使文件所有者能够读取和写入文件。第二和第三位置中的“4”表示组用户和整个互联网用户只能读取文件 - 保护文件免受意外操作。
 
因此,具有“777”(或4 + 2 + 1/4 + 2 + 1/4 + 2 + 1)权限的文件将可由用户,组和其他所有人读取,写入和执行。世界。
 
正如您所料,一个分配了权限代码的文件使得Web上的任何人都能够编写和执行它,这比一个已被锁定的文件安全得多,以便仅为所有者保留所有权限。当然,有正当理由打开对其他用户组的访问(匿名FTP上传,作为一个示例),但必须仔细考虑这些实例,以避免产生网站安全风险。
 
因此,一个好的经验法则是按如下方式设置权限:
 
文件夹和目录= 755
单个文件= 644
要设置文件权限,请登录cPanel的文件管理器或通过FTP连接到服务器。进入后,您将看到现有文件权限的列表(如下面使用Filezilla FTP程序生成的示例):
 
chmod 1
 
此示例中的最后一列显示当前分配给网站内容的文件夹和文件权限。要在Filezilla中更改这些权限,只需右键单击相关文件夹或文件,然后选择“文件权限”选项。这样做会启动一个屏幕,允许您使用一系列复选框分配不同的权限:
 
chmod 2
 
虽然您的Web主机或FTP程序的后端可能看起来略有不同,但更改权限的基本过程保持不变。我们的支持门户网站提供了如何修改文件夹和文件权限的解决方案。