20170316111406

保护您的网站不受黑客攻击系列二

上文中,虚拟主机商HostGator已经为您提供了4个简单的步骤来维护网站的安全。今天接着为您解决网站安全的问题。

下面列出3个步骤来维护网站的安全:

 

虚拟主机
保护您的网站不受黑客攻击系列二

 

 

步骤#1:使用CSP

跨站点脚本(XSS)攻击与SQL注入类似,是网站所有者需注意的另一常见威胁。当黑客找到渠道把恶意JavaScript代码偷偷写入您的网页时,曝露在该代码下的您访客的页面也会随之受到影响,这就是所谓的XSS攻击了。

保护您网站免受XSS攻击的措施之一跟您用来防御SQL注入的参数化查询类似,那就是——您需确保您网站上使用的任一允许输入的功能或场代码尽可能规定清楚它们允许的那些输入,这样您才不会留空间让黑客偷溜进来。

内容安全协议(CSP)是您可以用来防御XSS攻击的另一简便工具,它允许您指定网页浏览器需选择的可执行脚本的正确来源域,这样浏览器就能忽略任一可能影响您访客计算机安全的恶意脚本了。

使用CSP很简单,只要在您的网页上加入适当的HTTP标头,就能产生一串指令来告诉浏览器哪些域是安全的而哪些是异常的。您可以从Mozilla提供的关于“如何为网站制作CSP标头”的文章中获取更多的相关信息。

步骤#2:确保密码的安全性

这一步骤听起来很简单,但却尤为重要。

使用一个便于您记忆的密码总是听起来很吸引人,这就是为什么“123456”仍是最常见密码的原因了。但是,您需设置一个比它更好的密码。

因此,您需努力找出一个真正安全的长密码(或是使用HostGator的密码自动生成工具)。该密码需同时包含特殊字符、数字和字母,但要避免使用如您的生日或孩子的名字这样容易猜到的密码,因为如果一个黑客窃取到了您的一些其他信息的话,他首先就会猜想您的密码是由这种信息组成的。

 

HostGator的密码自动生成工具
HostGator的密码自动生成工具

 

另外,请确保任何有权修改您网站的人员都设置了类似的安全密码。您需研究这类人员必须设置的密码的长度和字符类型,这样他们在设置密码时就会抛弃标准、简单却不安全的密码而使用更特殊的密码了。

您团队中只要有任何人使用了安全系数较低的密码,那么您的整个网站都会更易于遭受攻击。所以,在设置密码方面,您需严格要求自己和员工。

步骤#3:锁定目录和文件权限

现在到了最后一个步骤,但这一步骤可能有点技术性,所以希望您能继续往下读。

所有的网站是由一系列存储在虚拟主机账户上的文件和文件夹组成的。除了包含那些能确保您网站正常运行的脚本和数据,每一文件和文件夹都配置了一组权限,这组权限可以限制可以读、写和执行任何给定文件或文件夹的用户或用户组。

在Linux操作系统中,权限为可视的三位数代码,每个数字为0-7之间的任一整数。第一个数字表示文件所有者的权限,第二个数字表示任何配置到该用户组的文件所有者的权限,而第三个数字表示其他人的权限。分配工作如下:

  • 4相当于读取
  • 2相当于改写
  • 1相当于执行
  • 0相当于该用户未获得权限

举个例子,让我们来看一下“644”这组权限代码。其中的第一个数字“6”(或“4+2”)代表文件所有者有权读写该文件,而第二、三个数字“4”则表示用户组以及一般的互联网用户只可以读取该文件,这样就能防止该文件受到恶意篡改。

因此,拥有“777”(或 4+2+1 / 4+2+1 / 4+2+1)权限代码的文件代表用户、用户组以及全世界各地的人都能读写和编辑该文件。

正如您所预期的那样,任一网络用户都能有权改写和执行的文件比只有所有者能有权读写和执行的锁定文件要不安全得多。当然,有时候也需给其他用户组打开这些权限(比如:匿名FTP上传),但这种情况必须经过仔细考量,才能避免网站安全隐患。

出于该原因,按以下方法设置权限是比较好的一种做法:

  • 文件夹和目录 = 755
  • 个人文件 = 644

您可以登录控制面板的文件管理器或通过FTP连接到您的服务器来设置文件权限。在进入控制面板之后,您就能看到一个现有文件权限列表 (正如下方使用FileZilla FTP程序生成的例子那样):

 

FileZilla FTP
FileZilla FTP

 

此例子中的最后一列显示了当前分配给网站内容的文件夹和文件权限。如果您想在Filezilla中修改这些权限,只需右击该文件夹或文件,然后选择“文件权限”选项即可。接着就会弹出一个对话框,您就可以使用一系列的复选框来设置不同的权限了:

 

Filezilla
Filezilla

 

虽然您的网络主机或FTP程序的后台可能略有不同,但是修改权限的基本过程却是相同的。如果您对修改文件和文件夹权限有任何疑问,可以联系虚拟主机商HostGator了解详情。总之,您不要推迟采取这一重要步骤了,因为使用这些所有的不同步骤是长久地保护您网站安全以及正常运行的一个重要部分。

在HostGator,我们创建了一组自定义的改写安全规则来帮您保护网站安全。如果您正在寻找新的主机供应商的话,可以点击链接注册我们的账号,以享受大量的优惠活动。

相关文章推荐》》》员工如何保护公司数据?

20170316111406

保护您的网站不受黑客攻击系列一

作为一名站长,最糟糕的莫过于您的网站内容被恶意的黑客篡改或清除,而造成惨重的后果。

您在网站(品牌)建设上面投入了大量的心血,所以您应该积极地采取一些基本的防黑保护措施来避免它受到恶意攻击。

除了定期备份文件,美国主机商HostGator还为您提供了以下4个简单的步骤来维护网站的安全:

 

美国主机
保护您的网站不受黑客攻击系列一

 

步骤#1: 保持所有的平台和脚本都更新至最新版本

保护您网站的最好措施之一就是确保已安装的任何平台或脚本已更新至最新版本。由于许多工具起初都是设计为开源软件项目的,所以无论是善意的开发人员或是恶意的黑客都能很容易获取它们的代码。因此,黑客们可以仔细研究这段代码,从中找到安全漏洞,并利用任何的平台或脚本弱点来趁机控制您的网站。

举个例子,如果您经营的网站是建立在WordPress平台上的话,您WordPress的安装基地和安装的任一第三方插件都很有可能会遭受这些类型的攻击。所以,安装最新版本的平台和脚本可以把您受到这些攻击的风险降到最低,而且通常也花不了什么时间就能做好。

WordPress用户可以登录到其仪表板中快速核对更新。您可以在您网站名的左上角找到“更新”图标,然后点击数字就能获取WordPress的更新了。

【安装WordPress,可选择美国主机商HostGator,给您提供最专业的服务】

 

WordPress
WordPress

 

步骤 #2:尽量安装安全插件

将所有平台和脚本都更新至最新版本之后,您可以通过安装有效防止黑客攻击的插件来进一步提高您网站的安全性。

再用WordPress打个比方,您会想寻找如iThemes Security 和Bulletproof Security (或可用于建立在其他内容管理系统的类似工具)这类的免费插件的,因为它们会针对每个平台的固有弱点来阻止其他类型的、可能威胁您网站安全的黑客攻击。

另外,无论您经营的是CMS管理的网站还是HTML页面,都可以试一下SiteLock,它能通过日常监控恶意软件检测、漏洞识别、主动进行病毒扫描等来无比简单地关闭网站安全漏洞。所以,如果您的生意主要依靠网站的话,SiteLock绝对是一个值得考虑的投资。

注:我们的“Managed WordPress”托管计划包含了SiteLock以及其它的一些功能来帮您保护您的网站。

 

SiteLock
SiteLock

 

步骤#3:使用HTTPS

作为一名消费者,您可能早就知道在网站提交敏感信息的任何时刻,都要查看浏览器地址栏中的绿色https标识了,因为大部分的消费者都知道这五个小字母代表了一种重要的安全速记:它们表示在该特定网页提交财务信息是安全的。您可以选择美国主机商提供的SSL证书,加强网站的安全,保护访客的信息。

如果您经营了一家网店,或者您网站的任一一部分都需要访客提交如信用卡账号这类的敏感信息的话,您都需要花钱去购买一个美国主机商hostgator提供的SSL证书。这个证书并不贵,但它提供给您顾客的额外加密级别却能使您的网站更加安全和值得信赖。

步骤#4:使用参数化查询

许多网站会遭受的最常见的攻击之一就是SQL注入。

SQL注入会发生是因为出现了一个允许外部用户提供信息的web表单或URL参数。如果您过于公开“场参数”的话,有些人就可以在它们之间插入代码,然后黑进您的数据库,而那里存储了很多客户敏感信息(如:联系人信息或信用卡账号)。很显然,保护这些信息的私密性是您的责任。

您可以采取一系列的步骤来保护您的网站免受SQL注入攻击,而其中最重要但最简单的步骤之一就是使用参数化查询,这能确保您的代码拥有足够的具体参数来杜绝黑客篡改它们。

在HostGator,我们创建了一组自定义的改写安全规则来帮您保护网站安全。如果您正在寻找新的主机供应商的话,可以点击链接注册我们的账号,以享受大量的优惠活动。

相关文章推荐》》》只需六步,博客安全不用愁