7幫助保護您的網站免受黑客攻擊的提示

文章撰寫者:
  • 精選文章
  • 更新:可能是06,2019

網絡不僅僅與業務有關。 每天寫入數十億頁面和博客條目每一秒,小網站所有者和博主都希望與全世界分享他們的觀點。 這就是網絡的魅力:它為每個人以及任何類型的項目提供了空間。

無限可能。

但互聯網也是一個狂野的叢林:它隱藏在每個角落的危險,你所使用的任何東西,甚至只是接近萬無一失的魔法。 如果您在線經營非營利性或獨立業務,尤其是您意識到將所有交易轉移到網上可能會對您的服務產生額外的謹慎。

在您規劃網站時,安全性是一個真正重要的考慮因素:如何保護我的內容並努力抵禦攻擊者? 如何提供最佳用戶體驗? 這些是您每次更新網站時應該問自己的問題。

為什麼選擇此文章以及為何選擇7提示?

以簡單的n00b-ish方式保護您的網站可能比現實更具烏托邦,但這並不意味著不是程序員或計算機科學家的人無法為其網站添加一些安全性。 我選擇了七個易於應用且深入到足以引起您對安全問題的好奇心的技巧,這樣您就可以 - 慢慢地,無情地 - 成為您自己的網絡安全專家。 所有提示都是針對網絡黑客攻擊的,我還將介紹可用於測試網站安全漏洞的技巧。 別擔心:沒什麼難做的,但為了您的項目,您必須熟悉可以抵禦攻擊的簡單工具和技術。 :)

玩得開心!

提示#1 - 在密碼上花費更多精力

排名第一的網絡安全漏洞是在更多網站或網絡服務中使用相同的密碼。 一個能夠計算出一個密碼的黑客會找出你所有的密碼,並且可以輕鬆訪問你的所有數據,無論是你的博客還是你的PayPal賬戶。 在紙上或文件上保存您的密碼列表也不是一個安全的替代方案(除非您密碼保護您的文件),因為攻擊您的計算機的人將可以輕鬆訪問您的數據庫。

但是,如果你不能提出一個像樣的密碼怎麼辦?

  1. 使用 一個強大的密碼生成器 生成難以破解的密碼,包括字母數字和替代符號。 一串符號越隨機或偽隨機(即密碼的符號沒有內部存儲器,它們彼此不相關,因此每個符號都有相同的機會接近另一個),它就越安全。
  2. 使用 密碼安全 保存和加密所有密碼,您可以通過記住密碼來解鎖。 該計劃使用 Twofish算法 加密所有密碼Password Safe是由Bruce Schneier開發的Windows開源項目。 如果您不使用Windows, 密碼大猩猩 是Password Safe的有效開源替代品。

以下是密碼保險的前視圖,其中包含名為“網站”的數據庫:

密碼安全程序視圖

以下是“網站”數據庫中文件的詳細信息:

密碼安全文件視圖

提示#2 - 好好照顧你的腳本

眾所周知,網站腳本和CMS平台是黑客攻擊的主要工具。 如果您託管用PHP,ASP和JavaScript編寫的腳本,請知道它們可能存在安全漏洞和開發人員可能忽略的錯誤。 除了在發現上述問題之一後立即聯繫開發人員,您可以使用非技術方法來確保您的腳本不會損壞您:

  • 徹底閱讀腳本的版本文檔:它通常包含有關修補程序和錯誤修復的詳細信息
  • 列出您的軟件安裝程序或管理面板甚至Google(通過網站管理員工具)警告:如果您需要更新或編輯/刪除文件,請執行此操作
  • 不要安裝每個現有插件:首先檢查兼容性和安全說明。

此外 - 這可能是最重要的因素 - 始終,始終保持您的腳本和CMS的最新。 最新的軟件包通常包含針對先前版本的錯誤和安全問題的補丁。

示例:來自Softaculous的WordPress升級警告

Softaculous升級警告

提示#3 - 執行常規文件夾和管理面板檢查

有時黑客會悄悄地進入你的網站,偷偷摸摸地像貓一樣,但他們留下了災難:網站欺騙,包含病毒的媒體文件,可執行文件和重新編碼的網頁。 定期檢查您的文件夾,至少每兩週一次,以確保您的文件沒有任何問題。 如果您發現無法識別的文件,請立即將其刪除。 如果這不起作用,請與您的網站主機聯繫並獲得幫助(這是你最需要一個好的網絡主機的時候)。 在這種情況下:

  • 更改管理面板密碼(如果可能,還可以更改用戶名)
  • 檢查所有文件以查看它們是否已損壞
  • 如果安裝了防病毒軟件,請運行它。

提示#4 - 安全身份驗證

Web安全專家利用許多方法為他們所處理的系統和Web事務提供最佳安全性:公鑰加密,信任鏈,簽名,SSL和TSL(傳輸層安全性)。 雖然你肯定應該學習一些關於密碼學的知識,但重要的是你要開始學習如何使用專家為你準備的簡單多因素身份驗證工具:

為什麼你需要 多因素認證? 因為需要知道您的用戶名,密碼和使用一次性處置令牌才能訪問您的內容; 否則,訪問將被拒絕。

如果可以的話,在您了解網絡安全性或使用在線教程和課程時,找一位專家來指導您。

提示#5 - 小心DDoS攻擊

拒絕服務攻擊 快速發展和危險,以及服務器劫持和用惡搞代替您的服務。

DDoS攻擊會強制服務器處於其正常服務不起作用的狀態,並且整個系統不再可供最終用戶使用。

什麼可能導致DDoS攻擊?

  • 開放式網絡配置
  • 錯誤的,未升級的應用程序
  • 不安全的服務器配置
  • 無需維護和/或監控網絡活動

告知您的ISP這種形式的攻擊並獲得通知。 您的網站主機可以做的是為每個服務器配置一個備用DNS地址列表,因此當默認DNS不可用時,整個網站仍然可以工作。 黑客只有在阻止列表中的所有服務器時才能獲得成功 - 艱難的工作,你不覺得嗎? 另一種對策可以是使用異常時序和/或來自高風險IP地址的所有傳入分組的過濾。 您的主機應該了解拒絕服務攻擊,因此請與他們討論DDoS預防。

提示#6 - 使用SFTP進行安全FTP訪問

沒有任何改變,它就像普通的FTP一樣,但SFTP或安全FTP帶來了很多好處,安全性:

  • 它使用SSH在文件傳輸期間加密數據和命令
  • 它使用客戶端服務器的公鑰在連接時驗證服務器,以確保它不是中介
  • 它使黑客無法收聽您的網絡流量

“常規”FTP命令的問題在於它沒有加密:所有上傳和下載服務器都是作為清除數據傳輸的。

要通過命令行訪問FTP(如果您是Unix / Linux / Mac OS用戶),您可以使用

sftp [email protected]

或者只是下載支持SFTP的免費FTP程序,例如 FileZilla中 (開源)。

提示#7 - 了解SQL注入以保護您的站點免受攻擊

請注意這種令人討厭的黑客攻擊方法,讓您的腳本保持最新,如果您遇到安全漏洞,請立即聯繫腳本開發人員。 以下是運行簡單測試的方法:

  • 在Web表單中輸入以下SQL代碼(用戶名和密碼):
    '或't'='t'; -
    在SQL級別變為:
    SELECT * FROM users WHERE userid ='admin'AND password =''OR't'='t'; - '
  • 它會返回您的數據庫內容嗎?

代碼可能有效(我說'可能'因為你可能很幸運安裝了一個非常安全的腳本),因為't'='t'是一個數學上真實的語句,因此SQL請求將始終執行。 知識淵博的黑客可以構建非常精細的SQL語句來實現他的目標,因此如果您使用的腳本容易被攻擊,請務必聯繫腳本開發人員並獲得幫助。 或者改變腳本。

獎金提示#1 - 定期檢查您的管理面板日誌

cPanel日誌部分

您的管理面板(cPanel,Plesk等)附帶內置工具,用於流量分析,訪問和安全日誌,您應該每周至少關註一次。

如果您使用cPanel,我建議您檢查一下 模擬統計 每兩天工具一次,因為該工具顯示詳細報告一:

  • HTTP請求
  • 交通活動的每月/每日/每小時報告
  • 推薦人,瀏覽器和操作系統的流量來自

當您認為您的網站遭到攻擊時,您應首先查看日誌工具。

獎金提示#2 - 執行雙周備份

如果可以的話,每兩週或每周備份一次。 插件就像 Supsystic - iThemes安全,你甚至可以每天或每三天備份一次。 重要的是,您不斷下載內容的新副本,如果在此過程中出現不良情況,可隨時恢復。 這篇文章向您展示了您的網站可能遭受的攻擊,以及如何打擊和預防它們,但您最強大的武器就是: 備份。 這是將您的網站恢復到原始狀態的唯一方法,就像黑客永遠不會發揮他的骯髒技巧一樣。

總結

那麼,你需要做什麼呢?

  1. 學習。 知識就是力量! 了解加密,DDoS和SQL注入,跨站點腳本(XSS)和其他類型的攻擊。 一切都可以幫助您全面了解當您的網站被黑客攻擊時發生的事情。 你知道的越多,反擊就越多。
  2. 保持最新。 隨著發現,工具和腳本升級。 本文強調了升級和更新站點軟件的重要性,以確保對攻擊者提供更加可靠的保護。
  3. 執行定期檢查和備份。 如果你備份,你可以恢復!
  4. 報告。 如果事情不受控制,請向腳本開發人員,管理機構和主機報告問題。 他們可以做你不能做的事。

軟件工程的安全技巧

軟件工程是一個迷人的領域,每個優秀的工程師和計算機科學家在開發軟件時都必須學會應用。 但是你知道它的反面也是如此嗎? 您 - 用戶 - 可以使用軟件工程概念在開發人員提供給您的站點軟件之間做出明智的選擇。 您可以:

  1. 了解錯誤可能會嚴重破壞您的系統和數據丟失
  2. 了解可靠性的4維度,並將它們用於您的優勢:可用性,可靠性,安全性和安全性
  3. 確定所有可能的安全問題:敏感/重要數據的丟失,某些服務的失敗,高重建成本(時間,金錢)。

在安裝和使用腳本之前,您應該問自己什麼?

可靠性。 我可以相信這個軟件嗎?

  • 可供租用日期 腳本很容易為我提供嗎? 它的開發人員可以聯繫以獲得幫助嗎?
  • 可靠性 腳本表現良好嗎? 當我對目標執行相關操作時,是否有錯誤或給我帶來問題?
  • 安全 故障和錯誤會嚴重影響安全性和性能嗎?
  • 安全 該軟件是否具有內置安全模塊? 這是我可以管理的嗎?
  • 可修復 如果出現問題,我可以管理嗎?
  • 可維護性 我可以自己維護這個軟件嗎?
  • 生存 該軟件是否仍會受到攻擊? 我能從攻擊中恢復得好嗎?

漏洞表

  • 軟體 錯誤; 透明數據傳輸; 錯誤; 公共日誌
  • 人的 低強度密碼; 不受保護的目錄; 披露敏感數據; 缺乏系統維護和更新/升級

關於Luana Spinetti

Luana Spinetti是一位自由撰稿人和藝術​​家,總部設在意大利,是一位充滿激情的計算機科學專業的學生。 她擁有心理學和教育方面的高中文憑,並參加了3年的漫畫書藝術課程,並從中畢業於2008。 作為一個多面的人,她對SEO / SEM和網絡營銷產生了濃厚的興趣,特別傾向於社交媒體,她正在用母語(意大利語)製作三部小說,她希望獨立出版很快。