7帮助保护您的网站免受黑客攻击的提示

文章撰写者:
  • 推荐文章
  • 更新:May 06,2019

网络不仅仅与业务有关。 每天写入数十亿页面和博客条目每一秒,小网站所有者和博主都希望与全世界分享他们的观点。 这就是网络的魅力:它为每个人以及任何类型的项目提供了空间。

无限可能。

但互联网也是一个狂野的丛林:它隐藏在每个角落的危险,你所使用的任何东西,甚至只是接近万无一失的魔法。 如果您在线经营非营利性或独立业务,尤其是您意识到将所有交易转移到网上可能会对您的服务产生额外的谨慎。

在您规划网站时,安全性是一个真正重要的考虑因素:如何保护我的内容并努力抵御攻击者? 如何提供最佳用户体验? 这些是您每次更新网站时应该问自己的问题。

为什么选择此文章以及为何选择7提示?

以简单的n00b-ish方式保护您的网站可能比现实更具乌托邦,但这并不意味着不是程序员或计算机科学家的人无法为其网站添加一些安全性。 我选择了七个易于应用且深入到足以引起您对安全问题的好奇心的技巧,这样您就可以 - 慢慢地,无情地 - 成为您自己的网络安全专家。 所有提示都是针对网络黑客攻击的,我还将介绍可用于测试网站安全漏洞的技巧。 别担心:没什么难做的,但为了您的项目,您必须熟悉可以抵御攻击的简单工具和技术。 :)

玩得开心!

提示#1 - 在密码上花费更多精力

排名第一的网络安全漏洞是在更多网站或网络服务中使用相同的密码。 一个能够计算出一个密码的黑客会找出你所有的密码,并且可以轻松访问你的所有数据,无论是你的博客还是你的PayPal账户。 在纸上或文件上保存您的密码列表也不是一个安全的替代方案(除非您密码保护您的文件),因为攻击您的计算机的人将可以轻松访问您的数据库。

但是,如果你不能提出一个像样的密码怎么办?

  1. 使用 一个强大的密码生成器 生成难以破解的密码,包括字母数字和替代符号。 一串符号越随机或伪随机(即密码的符号没有内部存储器,它们彼此不相关,因此每个符号都有相同的机会接近另一个),它就越安全。
  2. 使用 密码安全 保存和加密所有密码,您可以通过记住密码来解锁。 该计划使用 Twofish算法 加密所有密码Password Safe是由Bruce Schneier开发的Windows开源项目。 如果您不使用Windows, 密码大猩猩 是Password Safe的有效开源替代品。

以下是密码保险的前视图,其中包含名为“网站”的数据库:

密码安全程序视图

以下是“网站”数据库中文件的详细信息:

密码安全文件视图

提示#2 - 好好照顾你的脚本

众所周知,网站脚本和CMS平台是黑客攻击的主要工具。 如果您托管用PHP,ASP和JavaScript编写的脚本,请知道它们可能存在安全漏洞和开发人员可能忽略的错误。 除了在发现上述问题之一后立即联系开发人员,您可以使用非技术方法来确保您的脚本不会损坏您:

  • 彻底阅读脚本的版本文档:它通常包含有关修补程序和错误修复的详细信息
  • 列出您的软件安装程序或管理面板甚至Google(通过网站管理员工具)警告:如果您需要更新或编辑/删除文件,请执行此操作
  • 不要安装每个现有插件:首先检查兼容性和安全说明。

此外 - 这可能是最重要的因素 - 始终,始终保持您的脚本和CMS的最新。 最新的软件包通常包含针对先前版本的错误和安全问题的补丁。

示例:来自Softaculous的WordPress升级警告

Softaculous升级警告

提示#3 - 执行常规文件夹和管理面板检查

有时黑客会悄悄地进入你的网站,偷偷摸摸地像猫一样,但他们留下了灾难:网站欺骗,包含病毒的媒体文件,可执行文件和重新编码的网页。 定期检查您的文件夹,至少每两周一次,以确保您的文件没有任何问题。 如果您发现无法识别的文件,请立即将其删除。 如果这不起作用,请与您的网站主机联系并获得帮助(这是你最需要一个好的网络主机的时候)。 在这种情况下:

  • 更改管理面板密码(如果可能,还可以更改用户名)
  • 检查所有文件以查看它们是否已损坏
  • 如果安装了防病毒软件,请运行它。

提示#4 - 安全身份验证

Web安全专家利用许多方法为他们所处理的系统和Web事务提供最佳安全性:公钥加密,信任链,签名,SSL和TSL(传输层安全性)。 虽然你肯定应该学习一些关于密码学的知识,但重要的是你要开始学习如何使用专家为你准备的简单多因素身份验证工具:

为什么你需要 多因素认证? 因为需要知道您的用户名,密码和使用一次性处置令牌才能访问您的内容; 否则,访问将被拒绝。

如果可以的话,在您了解网络安全性或使用在线教程和课程时,找一位专家来指导您。

提示#5 - 小心DDoS攻击

拒绝服务攻击 快速发展和危险,以及服务器劫持和用恶搞代替您的服务。

DDoS攻击会强制服务器处于其正常服务不起作用的状态,并且整个系统不再可供最终用户使用。

什么可能导致DDoS攻击?

  • 开放式网络配置
  • 错误的,未升级的应用程序
  • 不安全的服务器配置
  • 无需维护和/或监控网络活动

告知您的ISP这种形式的攻击并获得通知。 您的网站主机可以做的是为每个服务器配置一个备用DNS地址列表,因此当默认DNS不可用时,整个网站仍然可以工作。 黑客只有在阻止列表中的所有服务器时才能获得成功 - 艰难的工作,你不觉得吗? 另一种对策可以是使用异常时序和/或来自高风险IP地址的所有传入分组的过滤。 您的主机应该了解拒绝服务攻击,因此请与他们讨论DDoS预防。

提示#6 - 使用SFTP进行安全FTP访问

没有任何改变,它就像普通的FTP一样,但SFTP或安全FTP带来了很多好处,安全性:

  • 它使用SSH在文件传输期间加密数据和命令
  • 它使用客户端服务器的公钥在连接时验证服务器,以确保它不是中介
  • 它使黑客无法收听您的网络流量

“常规”FTP命令的问题在于它没有加密:所有上传和下载服务器都是作为清除数据传输的。

要通过命令行访问FTP(如果您是Unix / Linux / Mac OS用户),您可以使用

sftp [email protected]

或者只是下载支持SFTP的免费FTP程序,例如 FileZilla中 (开源)。

提示#7 - 了解SQL注入以保护您的站点免受攻击

请注意这种令人讨厌的黑客攻击方法,让您的脚本保持最新,如果您遇到安全漏洞,请立即联系脚本开发人员。 以下是运行简单测试的方法:

  • 在Web表单中输入以下SQL代码(用户名和密码):
    '或't'='t'; -
    在SQL级别变为:
    SELECT * FROM users WHERE userid ='admin'AND password =''OR't'='t'; - '
  • 它会返回您的数据库内容吗?

代码可能有效(我说'可能'因为你可能很幸运安装了一个非常安全的脚本),因为't'='t'是一个数学上真实的语句,因此SQL请求将始终执行。 知识渊博的黑客可以构建非常精细的SQL语句来实现他的目标,因此如果您使用的脚本容易被攻击,请务必联系脚本开发人员并获得帮助。 或者改变脚本。

奖金提示#1 - 定期检查您的管理面板日志

cPanel日志部分

您的管理面板(cPanel,Plesk等)附带内置工具,用于流量分析,访问和安全日志,您应该每周至少关注一次。

如果您使用cPanel,我建议您检查一下 模拟统计 每两天工具一次,因为该工具显示详细报告一:

  • HTTP请求
  • 交通活动的每月/每日/每小时报告
  • 推荐人,浏览器和操作系统的流量来自

当您认为您的网站遭到攻击时,您应首先查看日志工具。

奖金提示#2 - 执行双周备份

如果可以的话,每两周或每周备份一次。 插件就像 Supsystic的iThemes安全,你甚至可以每天或每三天备份一次。 重要的是,您不断下载内容的新副本,如果在此过程中出现不良情况,可随时恢复。 这篇文章向您展示了您的网站可能遭受的攻击,以及如何打击和预防它们,但您最强大的武器就是: 备用。 这是将您的网站恢复到原始状态的唯一方法,就像黑客永远不会发挥他的肮脏技巧一样。

总结

那么,你需要做什么呢?

  1. 学习。 知识就是力量! 了解加密,DDoS和SQL注入,跨站点脚本(XSS)和其他类型的攻击。 一切都可以帮助您全面了解当您的网站被黑客攻击时发生的事情。 你知道的越多,反击就越多。
  2. 保持最新。 随着发现,工具和脚本升级。 本文强调了升级和更新站点软件的重要性,以确保对攻击者提供更加可靠的保护。
  3. 执行定期检查和备份。 如果你备份,你可以恢复!
  4. 报告。 如果事情不受控制,请向脚本开发人员,管理机构和主机报告问题。 他们可以做你不能做的事。

软件工程的安全技巧

软件工程是一个迷人的领域,每个优秀的工程师和计算机科学家在开发软件时都必须学会应用。 但是你知道它的反面也是如此吗? 您 - 用户 - 可以使用软件工程概念在开发人员提供给您的站点软件之间做出明智的选择。 您可以:

  1. 了解错误可能会严重破坏您的系统和数据丢失
  2. 了解可靠性的4维度,并将它们用于您的优势:可用性,可靠性,安全性和安全性
  3. 确定所有可能的安全问题:敏感/重要数据的丢失,某些服务的失败,高重建成本(时间,金钱)。

在安装和使用脚本之前,您应该问自己什么?

可靠性。 我可以相信这个软件吗?

  • 现有出租 脚本很容易为我提供吗? 它的开发人员可以联系以获得帮助吗?
  • 可靠性 脚本表现良好吗? 当我对目标执行相关操作时,是否有错误或给我带来问题?
  • 安全第一 故障和错误会严重影响安全性和性能吗?
  • 资金安全 该软件是否具有内置安全模块? 这是我可以管理的吗?
  • 可修复 如果出现问题,我可以管理吗?
  • 可维护性 我可以自己维护这个软件吗?
  • 生存 该软件是否仍会受到攻击? 我能从攻击中恢复得好吗?

漏洞表

  • 软件 错误; 透明数据传输; 错误; 公共日志
  • 人的 低强度密码; 不受保护的目录; 披露敏感数据; 缺乏系统维护和更新/升级

关于Luana Spinetti

Luana Spinetti是一位自由撰稿人和艺术家,总部设在意大利,是一位充满激情的计算机科学专业的学生。 她拥有心理学和教育方面的高中文凭,并参加了3年的漫画书艺术课程,并从中毕业于2008。 作为一个多面的人,她对SEO / SEM和网络营销产生了浓厚的兴趣,特别倾向于社交媒体,她正在用母语(意大利语)制作三部小说,她希望独立出版很快。