近年來，構(gòu)建網(wǎng)站的便利性不斷擴(kuò)大。多虧了 WordPress 和 Joomla 等內(nèi)容管理系統(tǒng) (CMS)，企業(yè)主現(xiàn)在是網(wǎng)站管理員。網(wǎng)站安全的責(zé)任現(xiàn)在掌握在您手中，但是，許多所有者不知道如何確保他們的網(wǎng)站安全。當(dāng)客戶使用在線信用卡支付處理器時(shí)，他們需要知道他們的數(shù)據(jù)是安全的。訪問者不希望他們的個(gè)人信息落入壞人之手。

無論您經(jīng)營的是小型企業(yè)還是企業(yè)，用戶都希望獲得安全的在線體驗(yàn)。谷歌注冊(cè)表和哈里斯民意調(diào)查2019 年的一份報(bào)告顯示，盡管越來越多的人正在創(chuàng)建網(wǎng)站，但大多數(shù)美國人在在線安全安全方面存在巨大的知識(shí)差距。雖然 55% 的受訪者給自己的在線安全評(píng)分為 A 或 B，但大約 70% 的受訪者錯(cuò)誤地確定了網(wǎng)站的安全 URL 應(yīng)該是什么樣子。

有很多方法可以向您自己、員工和客戶保證您的網(wǎng)站是安全的。網(wǎng)站安全不一定是猜謎游戲。采取必要的措施來提高您網(wǎng)站的安全性。幫助防止數(shù)據(jù)被窺探。沒有任何方法可以保證您的網(wǎng)站永遠(yuǎn)“沒有黑客”。使用預(yù)防方法將減少您網(wǎng)站的漏洞。網(wǎng)站安全是一個(gè)既簡單又復(fù)雜的過程。在為時(shí)已晚之前，您可以采取至少十個(gè)基本步驟來提高網(wǎng)站安全性。即使在網(wǎng)絡(luò)世界中，業(yè)主也必須保證客戶信息的安全。采取一切必要的預(yù)防措施，不遺余力。如果你有一個(gè)網(wǎng)站，安全總比后悔好。

如何提高您的網(wǎng)站安全性

1、使軟件和插件保持最新

每天都有無數(shù)的網(wǎng)站因?yàn)檫^時(shí)的軟件而遭到入侵。潛在的黑客和機(jī)器人正在掃描網(wǎng)站進(jìn)行攻擊。更新對(duì)您網(wǎng)站的健康和安全至關(guān)重要。如果您站點(diǎn)的軟件或應(yīng)用程序不是最新的，則您的站點(diǎn)不安全。認(rèn)真對(duì)待所有軟件和插件更新請(qǐng)求。更新通常包含安全增強(qiáng)和漏洞修復(fù)。檢查您的網(wǎng)站以獲取更新或添加更新通知插件。一些平臺(tái)允許自動(dòng)更新，這是確保網(wǎng)站安全的另一種選擇。您等待的時(shí)間越長，您的網(wǎng)站就越不安全。將更新您的網(wǎng)站及其組件作為重中之重。

2、添加 HTTPS 和 SSL 證書

為了保證您的網(wǎng)站安全，您需要一個(gè)安全的 URL。如果您的網(wǎng)站訪問者愿意發(fā)送他們的私人信息，那么您需要 HTTPS 而不是 HTTP 來傳遞它。

什么是 HTTP？

HTTPS（安全超文本傳輸??協(xié)議）是一種用于通過 Internet 提供安全性的協(xié)議。HTTPS 可防止在內(nèi)容傳輸過程中發(fā)生攔截和中斷。為了創(chuàng)建安全的在線連接，您的網(wǎng)站還需要 SSL 證書。如果您的網(wǎng)站要求訪問者注冊(cè)、注冊(cè)或進(jìn)行任何類型的交易，您需要加密您的連接。

什么是 SSL？

SSL（安全套接層）是另一個(gè)必要的站點(diǎn)協(xié)議。這會(huì)在網(wǎng)站和您的數(shù)據(jù)庫之間傳輸訪問者的個(gè)人信息。SSL 對(duì)信息進(jìn)行加密，以防止其他人在傳輸過程中讀取它。它也拒絕那些沒有適當(dāng)權(quán)限的人訪問數(shù)據(jù)的能力。GlobalSign 是適用于大多數(shù)網(wǎng)站的 SSL 證書示例。

3、選擇一個(gè)智能密碼

由于需要密碼的網(wǎng)站、數(shù)據(jù)庫和程序如此之多，因此很難跟蹤。很多人最終在所有地方都使用相同的密碼來記住他們的登錄信息。但這是一個(gè)重大的安全錯(cuò)誤。為每個(gè)新的登錄請(qǐng)求創(chuàng)建一個(gè)唯一密碼。想出復(fù)雜、隨機(jī)且難以猜測(cè)的密碼。然后，將它們存儲(chǔ)在網(wǎng)站目錄之外。

例如，您可以使用 14 位混合字母和數(shù)字作為密碼。然后，您可以將密碼存儲(chǔ)在離線文件、智能手機(jī)或其他計(jì)算機(jī)中。您的 CMS 將請(qǐng)求登錄，您必須選擇一個(gè)智能密碼。也不要在密碼中使用任何個(gè)人信息。不要使用您的生日或?qū)櫸锏拿郑蛔屗耆珶o法猜測(cè)。

三個(gè)月或更早后，將密碼更改為另一個(gè)密碼，然后重復(fù)。智能密碼很長，每次至少應(yīng)包含十二個(gè)字符。您的密碼必須是數(shù)字和符號(hào)的組合。確保在大寫和小寫字母之間交替。切勿使用相同的密碼兩次或與他人共享。如果您是企業(yè)主或 CMS 經(jīng)理，請(qǐng)確保所有員工經(jīng)常更改密碼。

4、使用安全的 Web 主機(jī)

將您網(wǎng)站的域名視為街道地址。現(xiàn)在，將虛擬主機(jī)視為您的網(wǎng)站在線存在的“房地產(chǎn)”圖。當(dāng)您研究一塊土地來建造房屋時(shí)，您需要檢查潛在的網(wǎng)絡(luò)主機(jī)以找到適合您的主機(jī)。許多主機(jī)提供服務(wù)器安全功能，可以更好地保護(hù)您上傳的網(wǎng)站數(shù)據(jù)。選擇主機(jī)時(shí)需要檢查某些項(xiàng)目。

• 網(wǎng)絡(luò)主機(jī)是否提供安全文件傳輸協(xié)議 (SFTP)？SFTP。
• 未知用戶使用 FTP 是否已禁用？
• 它是否使用 Rootkit 掃描程序？
• 它提供文件備份服務(wù)嗎？
• 他們?nèi)绾渭皶r(shí)了解安全升級(jí)？

無論您選擇 SiteGround 還是 WP Engine 作為您的虛擬主機(jī)，請(qǐng)確保它具有確保您的網(wǎng)站安全所需的一切。

5、記錄用戶訪問和管理權(quán)限

最初，您可能會(huì)覺得讓幾個(gè)高級(jí)員工訪問您的網(wǎng)站很舒服。您為每個(gè)人提供管理權(quán)限，認(rèn)為他們會(huì)謹(jǐn)慎使用他們的網(wǎng)站。盡管這是理想的情況，但并非總是如此。不幸的是，員工在登錄 CMS 時(shí)并沒有考慮網(wǎng)站的安全性。相反，他們的思想集中在手頭的任務(wù)上。

如果他們犯了錯(cuò)誤或忽略了問題，這可能會(huì)導(dǎo)致嚴(yán)重的安全問題。在授予他們網(wǎng)站訪問權(quán)限之前，對(duì)您的員工進(jìn)行審查至關(guān)重要。了解他們是否有使用您的 CMS 的經(jīng)驗(yàn)，以及他們是否知道要尋找什么以避免安全漏洞。

讓每個(gè) CMS 用戶了解密碼和軟件更新的重要性。告訴他們可以幫助維護(hù)網(wǎng)站安全的所有方法。要跟蹤誰可以訪問您的 CMS 及其管理設(shè)置，請(qǐng)記錄并經(jīng)常更新。員工來來去去。防止安全問題的最佳方法之一是記錄誰對(duì)您的網(wǎng)站做了什么。在用戶訪問方面要明智。

6、更改 CMS 默認(rèn)設(shè)置

針對(duì)網(wǎng)站的最常見攻擊是完全自動(dòng)化的。許多攻擊機(jī)器人所依賴的是讓用戶將其 CMS 設(shè)置設(shè)為默認(rèn)值。選擇 CMS 后，立即更改默認(rèn)設(shè)置。更改有助于防止發(fā)生大量攻擊。CMS 設(shè)置可以包括調(diào)整控制評(píng)論、用戶可見性和權(quán)限。您應(yīng)該進(jìn)行的默認(rèn)設(shè)置更改的一個(gè)很好的例子是“文件權(quán)限”。您可以更改權(quán)限以指定誰可以對(duì)文件執(zhí)行什么操作。

每個(gè)文件都有三個(gè)權(quán)限和一個(gè)代表每個(gè)權(quán)限的數(shù)字：

1. 'Read'(4)：查看文件內(nèi)容。
2. 'Write'(2)：改變文件內(nèi)容。
3. '執(zhí)行'(1)：運(yùn)行程序文件或腳本。

為了澄清，如果您想允許許多權(quán)限，請(qǐng)將數(shù)字相加。例如，為了允許讀取 (4) 和寫入 (2)，您將用戶權(quán)限設(shè)置為 6。

除了默認(rèn)文件權(quán)限設(shè)置外，還有三種用戶類型：

• 所有者 - 通常是文件的創(chuàng)建者，但可以更改所有權(quán)。一次只能有一個(gè)用戶成為所有者。
• 組 – 每個(gè)文件都分配給一個(gè)組。屬于該特定組的用戶將獲得對(duì)該組權(quán)限的訪問權(quán)限。
• 公開 - 其他所有人。

自定義用戶及其權(quán)限設(shè)置。不要保留默認(rèn)設(shè)置，否則您將在某些時(shí)候遇到網(wǎng)站安全問題。

7、備份您的網(wǎng)站

保持網(wǎng)站安全的最佳方法之一是擁有良好的備份解決方案。你應(yīng)該有不止一個(gè)。在發(fā)生重大安全事件后，每一項(xiàng)對(duì)于恢復(fù)您的網(wǎng)站都至關(guān)重要。您可以使用多種不同的解決方案來幫助恢復(fù)損壞或丟失的文件。將您的網(wǎng)站信息保存在場(chǎng)外。不要將備份存儲(chǔ)在與您的網(wǎng)站相同的服務(wù)器上；他們也同樣容易受到攻擊。

選擇將您的網(wǎng)站備份保存在家用計(jì)算機(jī)或硬盤上。尋找異地存儲(chǔ)數(shù)據(jù)并保護(hù)數(shù)據(jù)免受硬件故障、黑客攻擊和病毒的影響。另一種選擇是在云中備份您的網(wǎng)站。它使存儲(chǔ)數(shù)據(jù)變得容易，并允許從任何地方訪問信息。

除了選擇備份網(wǎng)站的位置外，您還必須考慮將它們自動(dòng)化。使用可以安排站點(diǎn)備份的解決方案。您還希望確保您的解決方案具有可靠的恢復(fù)系統(tǒng)。在備份過程中保持冗余 — 備份您的備份。通過這樣做，您可以從黑客或病毒發(fā)生之前的任何時(shí)間點(diǎn)恢復(fù)文件。

8、了解您的 Web 服務(wù)器配置文件

了解您的 Web 服務(wù)器配置文件。您可以在根 Web 目錄中找到它們。Web 服務(wù)器配置文件允許您管理服務(wù)器規(guī)則。這包括提高網(wǎng)站安全性的指令。每個(gè)服務(wù)器都使用不同的文件類型。了解您使用的那個(gè)。

• Apache Web 服務(wù)器使用 .htaccess 文件
• Nginx 服務(wù)器使用 nginx.conf
• Microsoft IIS 服務(wù)器使用 web.config

并非每個(gè)網(wǎng)站管理員都知道他們使用的網(wǎng)絡(luò)服務(wù)器。如果您是其中之一，請(qǐng)使用Sitecheck 之類的網(wǎng)站掃描儀來檢查您的網(wǎng)站。它會(huì)掃描已知的惡意軟件、病毒、黑名單狀態(tài)、網(wǎng)站錯(cuò)誤等。您對(duì)網(wǎng)站安全的當(dāng)前狀態(tài)了解得越多越好。它讓您有時(shí)間在任何傷害發(fā)生之前修復(fù)它。

9、申請(qǐng) Web 應(yīng)用防火墻

確保您申請(qǐng)了 Web 應(yīng)用程序防火墻 (WAF)。它設(shè)置在您的網(wǎng)站服務(wù)器和數(shù)據(jù)連接之間。目的是讀取通過它的每一位數(shù)據(jù)以保護(hù)您的站點(diǎn)。如今，大多數(shù) WAF 都是基于云的，并且是即插即用的服務(wù)。云服務(wù)是阻止所有黑客攻擊的所有傳入流量的網(wǎng)關(guān)。它還過濾掉其他類型的不需要的流量，例如垃圾郵件發(fā)送者和惡意機(jī)器人。

10、加強(qiáng)網(wǎng)絡(luò)安全

當(dāng)您認(rèn)為您的網(wǎng)站是安全的時(shí)，您需要分析您的網(wǎng)絡(luò)安全性。使用辦公室計(jì)算機(jī)的員工可能會(huì)無意中為您的網(wǎng)站創(chuàng)建不安全的路徑。為防止他們?cè)L問您網(wǎng)站的服務(wù)器，請(qǐng)考慮在您的企業(yè)中執(zhí)行以下操作：

• 讓計(jì)算機(jī)登錄在短時(shí)間不活動(dòng)后過期。
• 確保您的系統(tǒng)每三個(gè)月通知用戶一次密碼更改。
• 確保插入網(wǎng)絡(luò)的所有設(shè)備在每次連接時(shí)都進(jìn)行惡意軟件掃描。

結(jié)論

作為企業(yè)主和網(wǎng)站管理員，您不能僅僅建立一個(gè)網(wǎng)站而忘記它。盡管網(wǎng)站創(chuàng)建比以往任何時(shí)候都容易，但它并沒有改變安全維護(hù)是必要的事實(shí)。在保護(hù)公司和客戶數(shù)據(jù)方面始終保持積極主動(dòng)。無論您的網(wǎng)站接受在線支付還是個(gè)人信息，訪問者輸入您網(wǎng)站的數(shù)據(jù)都必須落到正確的手中。