分类： 网站建设

作为一个网站的所有者，有什么比看到您所有的作品都被恶意黑客篡改或彻底销毁更可怕的事情吗?我们经常在新闻里看到数据泄露和黑客入侵的消息。很多人可能会觉得，为什么有人会入侵我的小企业网站?但黑客并不只是发生在那些大人物身上。一份报告发现，43%的数据泄露的受害者都是小企业。网站所有者已经为网站(和品牌)付出了很多努力，所以花时间用这些基本的防止入侵技巧来保护网站是很重要的。

　　保护网站免受黑客攻击的五个简单步骤

当开始阅读这篇文章的时候，有人可能会担心里面会有很多普通网站所有者会感到困惑的专业术语。但是其实只有部分技巧需要开发人员去操作。推荐阅读：《怎样保护网站的安全避免被攻击》

几件事可以自己做，不需要那么多技术诀窍。

　　第一步：安装安全插件。

如果使用内容管理系统(CMS)构建网站，可以使用安全插件增强网站，自主地防止网站黑客企图。每个主要的CMS选项都有可用的安全插件，其中许多是免费的。

　　WordPress安全插件：

• 　　iThemes Security
• 　　Bulletproof Security
• 　　Sucuri
• 　　Wordfence
• 　　fail2Ban

Magento的安全软件：

• 　　Amasty
• 　　Watchlog Pro

Joomla的安全扩展：

• 　　JHacker Watch
• 　　jomDefender
• 　　RSFirewall
• 　　防病毒网站保护

这些工具解决每个平台固有的安全漏洞，阻止可能威胁网站的其他类型的黑客攻击。

此外，所有网站，无论运行的是CMS管理的网站还是HTML页面，都可以考虑使用SiteLock。SiteLock不仅仅是简单地扫除网站安全漏洞，它提供了从恶意软件检测到漏洞识别到主动病毒扫描等各种日常监控。如果企业依赖其网站，SiteLock绝对是一项值得考虑的投资。

注意：WordPress主机托管计划内置了SiteLock以及其他功能来帮助保护网站。

　　第二步：使用HTTPS。

作为消费者，很多人可能已经知道，在向网站提供敏感信息时，一定会在浏览器栏中确认网站是否有绿锁图标和https网址。这五个字母是网站安全的一个重要缩写：它们表明在特定的网页上提供财务信息是安全的。

SSL证书很重要，因为它保证了网站和服务器之间的信息传输的安全性——如信用卡、个人数据和联系信息。

虽然SSL证书对于电子商务网站来说一直是必不可少的，但拥有SSL证书最近对于所有网站来说都变得非常重要。谷歌在2018年发布了一个Chrome更新。安全更新发布于七月，如果网站没有安装SSL证书，就会提醒网站访问者。这使得访问者更有可能弹出网站，即使网站没有收集敏感信息。

搜索引擎比以往任何时候都更加重视网站安全，因为它们希望用户在浏览网页时有一个积极和安全的体验。如果没有SSL证书，网站在搜索引擎的搜索结果中的排名会比较低。

这对企业而言意味着什么呢?如果想让人们信任某个品牌，就需要为SSL证书投资。SSL证书的成本很低，但它为客户提供的额外加密级别大大提高了网站的安全性和可靠性。

HostGator也非常重视网站的安全性，但最重要的是，我们想让访问者更容易获得安全性。所有HostGator虚拟主机都附带免费SSL证书。SSL证书将自动应用于客户的网站，但在网站上安装免费SSL证书确实需要采取几个步骤。

　　第三步：保持网站平台和软件是最新版本。

使用带有各种有用插件和扩展的CMS提供了很多好处，但也带来了很多风险。网站感染的主要原因是内容管理系统的可扩展组件存在漏洞。

因为这些工具中有许多是作为开源软件程序创建的，所以它们的代码很容易访问——无论是善意的开发人员还是恶意的黑客。黑客会仔细研究这些代码，寻找安全漏洞，利用这些平台或脚本漏洞控制网站。

为了保护网站免受黑客攻击，请始终确保内容管理系统、插件、应用程序以及安装的任何脚本都是最新版本。

如果正在运行WordPress网站，可以在登录WordPress仪表板时快速检查各项工具的版本。在网站名称旁边的左上角寻找更新图标。点击数字以访问WordPress更新。推荐阅读：《如何创建强密码来保护网站安全》

　　第四步：确保密码的安全性。

这个看起来很简单，但是很重要。

因为人们都想使用简单并且容易记住的密码。这就是为什么最常用的密码还是123456。必须使用更好的密码——要防止黑客和其他外人的登录尝试。

尽量选择一个真正安全的密码(或使用HostGator的密码生成器)。让它更长一点。混合使用特殊字符、数字和字母。避开那些可能容易猜到的关键词，比如生日或孩子的名字。如果黑客以某种方式获得了其他相关信息，他们就会根据这些信息作出猜测。

第一步是遵守密码安全性的高标准要求。还需要确保每个访问网站的人都有类似的强密码。团队中的一个弱密码可能会使网站容易发生数据泄漏，因此，所有有访问权限的人都必须设置强密码。

要求所有网站用户的密码长度和字符类型。如果员工想为他们不太安全的账户使用简单的密码，那是他们的事。但当涉及到网站，这是业务(字面上)，可以设定更高的标准。

　　第五步：投资自动备份。

即使做了这上面的所有事情，仍然面临着风险。网站遭到入侵的最坏的情况是因为忘记备份网站而失去了所有心血。保护网站的最好方法是确保有一个最新的备份。

虽然数据泄露无论如何都会带来压力，但有当前备份时，恢复数据会容易得多。网站所有者可以养成每天或每周手动备份网站的习惯。但是，如果有哪怕是最微小的可能会忘记，那就投资自动备份。这是一种廉价的购买安心的方式。

　　保护网站免受黑客攻击的五个高级步骤

以上所有步骤都相对轻松，即使对于技术经验很少的网站所有者也是如此。这个列表的后半部分变得稍微复杂一些，可能需要呼叫开发人员或IT顾问来帮助解决问题。

　　第六步：在网站接收上传文件时采取预防措施。

当任何人都可以选择将某些内容上传到网站时，他们可能会滥用该特权，加载恶意文件、覆盖对网站重要的现有文件，或者上载一个导致整个网站崩溃的大文件。

如果可能的话，就是不要接受任何通过网站上传的文件。许多小企业网站根本不提供上传文件的选项就避免了此类风险。如果是这样，那么可以跳过此步骤中的所有其他内容。

但拒绝文件上传并不是所有网站的选择。某些类型的企业，如会计师或医疗保健提供商，需要为客户提供一种安全提供文档的方法。

如果需要允许文件上传，请采取几个步骤来确保保护自己：

• 　　创建允许文件扩展名的白名单。通过指定将接受哪些类型的文件，可以将可疑的文件类型排除在外。
• 　　使用文件类型验证。黑客试图通过重命名扩展名不同于实际文档类型的文档，或在文件名中添加点或空格，来偷偷绕过白名单过滤器。
• 　　设置最大文件大小。通过拒绝任何超过一定大小的文件来避免分布式拒绝服务(DDoS)攻击。
• 　　扫描文件中是否有恶意软件。在打开之前，请使用防病毒软件检查所有文件。
• 　　上传后自动重命名文件。黑客在查找文件时，如果文件的名称不同，他们将无法重新访问该文件。
• 　　将上传文件夹放在webroot之外。这使得黑客无法通过他们上传的文件访问网站。

这些步骤可以消除允许文件上传到网站的大部分固有漏洞。

　　第七步：使用参数化查询。

SQL注入是最常见的网站黑客攻击手段之一，许多网站都深受其害。

如果有允许外部用户提供信息的电子表单或URL参数，则SQL注入可以发挥作用。如果将字段的参数设置过于开放，可能会有人在其中插入允许访问数据库的代码。保护站点不受此影响非常重要，因为数据库中可能包含大量敏感的客户信息。

有许多步骤可以保护网站免受SQL注入;其中最重要和最容易实现的是使用参数化查询。使用参数化查询可以确保代码具有足够的特定参数，这样黑客就没有办法进行篡改。

　　第八步：使用CSP。

跨站点脚本(XSS)攻击是站点所有者必须警惕的另一种常见威胁。黑客找到了一种方法，将恶意JavaScript代码滑到页面上，然后可以感染任何接触到该代码的网站访问者的设备。

保护网站免受XSS攻击类似于SQL注入的参数化查询。确保在网站上使用的任何允许输入的函数或字段的代码在允许的范围内尽可能明确，这样就不会为任何内容的插入留下空间。

内容安全策略(CSP)是另一个方便的工具，可以帮助保护站点免受XSS攻击。CSP允许在网页上指定浏览器应该允许哪些可执行脚本的有效域。浏览器会知道不要注意任何可能感染网站访问者计算机的恶意脚本或恶意软件。

使用CSP需要在网页中添加适当的HTTP标头，该标头提供一系列指令，告诉浏览器哪些域没有问题，或者发现任何异常。点击此处找到有关为网站制作CSP标题的详细信息。

　　第九步：锁定目录和文件权限。

所有网站都可以归结为一系列文件和文件夹，存储在虚拟主机帐户中。除了包含使网站正常工作所需的所有脚本和数据外，还为每个文件和文件夹分配了一组权限，这些权限控制属于那些可以读取、写入和执行任何给定的文件或文件夹用户或所属组。推荐阅读：《如何保护网站免受SEO垃圾攻击》

在Linux操作系统上，权限可以视为三位数的代码，其中每个数字是0-7之间的整数。第一个数字表示文件所有者的权限，第二个数字代表分配给拥有该文件的组的任何人，第三个数字则代表所有其他人。分配工作如下：

• 　　4等于阅读
• 　　2等于编辑
• 　　1等于执行
• 　　0等于该用户没有权限

例如，以权限代码“644”为例。在本例中，第一个位置的“6”(或“4+2”)赋予文件所有者读写文件的能力。第二和第三个位置中的“4”表示组用户和广大互联网用户都只能读取文件，从而保护文件免受意外操作的影响。

因此，具有“777”(或4+2+1/4+2+1/4+2+1/4+2+1)权限的文件可由用户、组和世界上其他所有人读取、写入和执行。

正如所预料的那样，一个被分配了权限代码的文件，使网络上的任何人都能够写入和执行它，它的安全性远远低于一个被锁定仅为所有者保留所有权利的文件。当然，网站所有者有充分的理由向其他用户组开放访问(例如匿名FTP上载)，但必须仔细考虑这些情况，以避免为网站带来任何安全风险。

因此，最好按如下方式设置权限：

• 　　文件夹和目录=755
• 　　单个文件=644

如果要设置文件权限，请登录到cPanel的文件管理器或通过FTP连接到服务器。进入后，将看到现有文件权限的列表(如下面使用Filezilla FTP程序生成的示例所示)：

本例中的最后一列显示当前分配给网站内容的文件夹和文件权限。如果要在Filezilla中更改这些权限，只需右键单击有问题的文件夹或文件，然后选择“文件权限”选项。这样将打开一个界面，允许操作者使用一系列复选框分配不同的权限：

虽然虚拟主机或FTP程序的后端可能看起来略有不同,但更改权限的基本过程保持不变。支持门户提供了如何使用chmod权限修改文件夹和文件权限的解决方案。

　　第十步：错误消息简洁明了(但仍然有用)。

详细的错误消息可以在内部帮助识别出问题所在，从而知道如何解决问题。但当这些错误信息显示给外部访问者时，它们可能会泄露敏感信息，告诉潜在的黑客网站漏洞的确切位置。

要非常小心在错误信息中提供的信息，这样就不会提供黑客任何有用信息。保持错误信息足够简单，以免无意中泄露太多信息。但是也要避免歧义，这样访问者仍然可以从错误消息中了解到足够的信息，从而知道下一步要做什么。

　　保护电子商务商店免受黑客攻击的三个步骤

到目前为止，我们分享的所有提示都将有助于保护在线商店免受犯罪分子的攻击。话虽如此，由于电子商务网站是欺诈者和数据窃贼的热门目标，还需要采取额外措施来保护业务和客户。

第一步 ：为商店获得第三方防欺诈服务，即使电子商务平台或支付提供商提供了欺诈保护服务。

如果已经免费获得了电子商务欺诈保护，为什么还要支付额外的费用呢?因为这额外的一层保护可以为节省时间，帮助避免因为错误而错失好的订单。

许多电子商务平台提供的欺诈保护在识别欺诈风险高的订单方面发挥了巨大作用。确定了这些订单之后，可以做些什么：全部拒绝，或者进行审查，然后决定批准哪些。

两种选择都有各自的风险。拒绝每一个可能是欺诈的订单，可能会因为一些小问题而拒绝很多好订单，比如运输和账单地址不匹配或者国外地址。很多被拒绝的客户不会再回头，所以随着时间的推移，自动拒绝会损失大量的收入。但是，审查有风险的订单需要时间和企业主可能不具备的专业知识。

一个提供人工审核的第三方服务可以让专家看一看欺诈风险高的订单，拒绝实际的欺诈企图，确定好的但看起来有点不靠谱的订单。避免欺诈，让好客户的资金源源不断地流入。

　　第二步：设置一些交易限制以抵御欺诈攻击。

犯罪分子很容易在网上获得被盗的信用卡号码，并用它们购买物品进行转售。但很多时候，这些卡号缺少最重要的CVV，即支付处理器完成交易所需的卡上的三位或四位数字。

信用卡诈骗者会做些什么?在许多情况下，他们会进行所谓的卡测试：访问一家结帐安全性较弱的小型在线商店，在购物车中添加一些小东西，并不断尝试不同的CVV，直到找到与他们试图使用的被盗卡号相匹配的卡号。

瞧!他们的订单通过了，他们可以去其他地方购买他们真正想要的高价商品，而企业主却被敲诈了。

现在想象一下，一个僵尸网络只在几分钟内对数百或数千次CVV匹配尝试进行卡测试，这样他们就可以更快地实施更多欺诈。事实上，不必想象，因为卡测试欺诈僵尸网络是一件事，它们会让企业在欺诈损失和退单费用方面损失一大笔钱。

为了防止诈骗机器人冒充买家结账，设置一些限制。

• 　　调整欺诈控制程序的设置，以限制客户可以尝试输入正确的CVV的次数，同时如果他们被拒绝太多次，阻止他们的IP地址。
• 　　设置一小时、一天、一周等时间内来自同一IP地址的事务数量限制，并阻止超过该限制的地址。
• 　　跟踪被拒绝的交易数量，如果发现交易数量激增，立即进行调查。

　　第三步：了解PCI-DSS需求和最佳实践。

PCI-DSS是支付卡行业的数据安全标准。每一个接受信用卡支付的商户都必须遵守该指南，以避免暴露其客户的支付数据并承担责任。

任何在站点上进行支付的任何支付平台、处理器或网关都应符合PCI-DSS，这减少了为保护支付数据安全而必须采取的一些步骤。不过，最终，了解基本要求是企业的责任，查看PCI安全标准委员会的免费资源也很有帮助。一个很好的起点是针对商家的数据安全要素评估工具，它可以显示网站上哪方面的安全性比较强，也会为需要加强的某些方面提供建议。

　　保护网站免受黑客攻击

从长远来看，保护网站并学习如何防范黑客是保持网站健康和安全的重要组成部分!赶快采取这些重要步骤。

HostGator创建了一套自定义的mod安全规则，可以帮助网站所有者保护网站。如果正在寻找一个新的虚拟主机提供商，可以点击这里注册，进行交易。对于新帐户，我们甚至会免费提供迁移服务!创建帐户后，只需在此处填写表单。

不要担心在这个过程中遇到任何问题。请阅读HostGator支持文章或联系客户支持专家之一，他们可通过聊天或电话全天候提供服务。我们可以帮助所有读者得到安全!推荐相关阅读：《如何更新小企业网站网络安全实践以及立即要采取的四个步骤》

没有什么是不会被删除的，特别是如果您没有经常的备份网站。如果您使用我们推荐的网络托管服务之一构建网站，您将享受到一个具有出色正常运行时间和可靠性的网站。但是，这并不能防止灾难性的服务器故障、被黑的网站或意外删除的文件。通过备份网站，您可以将您的网站恢复到正常状态，恢复到灾难发生之前的状态。

企业应该经常备份网站;毕竟，您不希望因不幸发生而丢失宝贵的订单或库存数据。那是钱丢了。

幸运的是，创建适当的备份网站是一项相对简单的工作。这只是决定你将如何做，以及多久做一次的问题。完成此过程后，您需要将备份网站保存在安全的地方，例如外部硬盘驱动器或云存储，并定期对其进行刷新。推荐阅读：《为什么需要备份网站，不备份网站有哪些后果》

　　使用Filezilla备份网站

备份网站的标准方法也是需要最多专业知识的方法。手动备份您的网站需要使用FTP软件将文件移动到您的本地计算机。我们建议使用 Filezilla，这是我们最好的免费软件选择之一。这是如何做到的。

1.填写主机、用户名和密码字段。主机是您站点的域名或 IP 地址，而用户名和密码是用于访问站点控制面板的凭据。

2.单击“快速连接”。完成后，您将在 Filezilla 的右下角区域看到一组代表您网站的文件夹。

3.导航到“publichtml”文件夹。右键单击它以打开上下文菜单。

4.选择“下载”将 publichtml 文件夹复制到您的 PC。推荐阅读：《为什么说备份网站很重要，怎样备份网站》

5.或者，如果您使用的是WordPress 驱动的站点，请下载 wp-content 目录和 wp-config.php 文件。

　　使用 cPanel 备份网站

许多网络托管服务使用cPanel，这是一个用户友好的控制面板前端，带有许多按钮选项。您可能已经猜到了，它还可以让您备份您的网站。cPanel 备份在技术上是手动备份网站，但它们比使用上述方法更容易执行。

1.登录您站点的 cPanel 控制面板。

2.进入“文件”部分，然后单击“备份”。

3.单击“下载完整的网站备份”。还有一些选项可以进行部分备份，包括主目录或SQL数据库。这特别有用，因为它缩短了与大型网站或数据库备份相关的下载时间。

4.选择“主目录”作为备份目的地，然后输入电子邮件地址，以便在备份完成时收到通知。

5.单击“生成备份”以开始备份过程。

6.单击“返回”。您将看到一个显示“可供下载的备份”的链接。从这里，您可以下载备份存档文件。

7.WordPress 支持的网站需要一个额外的步骤。在“数据库”部分，单击“phpMyAdmin”，然后选择您站点的数据库。单击“导出”。最后，在下一页上，单击“Go”以下载 SQL 文件。

以上就是推荐两种备份网站的方式全部内容。推荐相关阅读：《如何在没有插件的情况下备份网站》

　服务器蛮力攻击是一种越来越流行的方法，黑客通过这种方法可以通过猜测密码来未经授权地访问敏感数据。由于与远程工作兴起相关的网络安全漏洞增加，暴力攻击变得越来越流行。

　　什么是服务器蛮力攻击?

服务器蛮力攻击是一种反复试验的方法，黑客或机器人只是试图猜测登录凭据。“蛮力”一词来自黑客无情地尝试每一个可能的密码，直到他们偶然发现一个有效的密码，并通过纯粹的意志力获得对数据的未经授权的访问。

　　服务器蛮力攻击如何工作?

有许多不同类型的服务器蛮力攻击，每种都有自己的方法。熟悉不同类型是一个好主意，以便最好地确定如何防止暴力攻击：

简单的服务器蛮力攻击。当黑客尝试手动猜测密码时会发生这种情况，通常是通过尝试常见的、易于猜测的密码(如“密码”)或从目标的在线状态中收集生日和儿童姓名等个人信息。

字典攻击。当黑客试图通过使用预先选择的密码列表来侵入一个帐户时，就会发生这种情况。推荐阅读：《虚拟主机为什么会被攻击？》

混合服务器蛮力攻击。顾名思义，这是两种攻击方法的组合，即字典攻击和简单的服务器蛮力攻击。坏演员从一个单词列表开始，然后在密码中添加数字和字符组合。例如，许多密码在末尾附加一小串数字来表示年份、日期和其他个人信息。

反向服务器蛮力攻击。当坏人在网络破坏后获得密码并搜索匹配的用户登录时，就会发生这种情况。

密码喷涂。黑客不是选择一个帐户然后尝试无数密码组合直到帐户解锁，而是选择一个通用密码，然后在多个帐户上尝试直到解锁为止。

凭证填充。当不良行为者使用从一个组织窃取的密码和登录凭据并使用它们试图闯入其他组织的帐户时，就会发生这种情况。凭证填充之所以成功，是因为人们通常在多个帐户中使用一个密码。

　　如何防止服务器蛮力攻击

好消息是服务器蛮力攻击是可以预防的。首先，应优化密码以确保安全。例如，任何弱的、常用的密码，如“123456”、“密码”或“111111”都应立即更改。考虑到这一点，绕过包含任何字典单词的密码是个好主意。数字和字母的组合比使用单词和短语的密码更难猜测，尤其是当它们包含容易获得的个人详细信息时。推荐阅读：《网站如何抵御黑客的攻击（一）》

此外，每个密码对于每个帐户都应该是唯一的。您最不想做的事情就是在不知不觉中交出所谓的“钥匙”，让坏人立即访问您的所有专业和个人帐户。

在组织层面，建立一个安全功能，在几次不成功的登录尝试后将用户锁定在帐户之外，将大大有助于保护您的企业数据。双因素身份验证是另一种流行的，更不用说对抗暴力攻击和凭证填充的有效预防措施了。

　　主动

避免成为网络威胁受害者的最佳方法是保持警惕并遵循网络安全最佳实践，例如将密码设置为自动过期或从不在其中包含您的个人信息。SiteLock 可以帮助您保护您的数据免受暴力攻击和无数其他威胁。

以上就是什么是服务器蛮力攻击的全部内容。推荐相关阅读：《高防服务器能防御哪些攻击》