作为一个网站的所有者,有什么比看到您所有的作品都被恶意黑客篡改或彻底销毁更可怕的事情吗?我们经常在新闻里看到数据泄露和黑客入侵的消息。很多人可能会觉得,为什么有人会入侵我的小企业网站?但黑客并不只是发生在那些大人物身上。一份报告发现,43%的数据泄露的受害者都是小企业。网站所有者已经为网站(和品牌)付出了很多努力,所以花时间用这些基本的防止入侵技巧来保护网站是很重要的。
保护网站免受黑客攻击的五个简单步骤
当开始阅读这篇文章的时候,有人可能会担心里面会有很多普通网站所有者会感到困惑的专业术语。但是其实只有部分技巧需要开发人员去操作。推荐阅读:《怎样保护网站的安全避免被攻击》
几件事可以自己做,不需要那么多技术诀窍。
第一步:安装安全插件。
如果使用内容管理系统(CMS)构建网站,可以使用安全插件增强网站,自主地防止网站黑客企图。每个主要的CMS选项都有可用的安全插件,其中许多是免费的。
WordPress安全插件:
- iThemes Security
- Bulletproof Security
- Sucuri
- Wordfence
- fail2Ban
Magento的安全软件:
- Amasty
- Watchlog Pro
Joomla的安全扩展:
- JHacker Watch
- jomDefender
- RSFirewall
- 防病毒网站保护
这些工具解决每个平台固有的安全漏洞,阻止可能威胁网站的其他类型的黑客攻击。
此外,所有网站,无论运行的是CMS管理的网站还是HTML页面,都可以考虑使用SiteLock。SiteLock不仅仅是简单地扫除网站安全漏洞,它提供了从恶意软件检测到漏洞识别到主动病毒扫描等各种日常监控。如果企业依赖其网站,SiteLock绝对是一项值得考虑的投资。
注意:WordPress主机托管计划内置了SiteLock以及其他功能来帮助保护网站。
第二步:使用HTTPS。
作为消费者,很多人可能已经知道,在向网站提供敏感信息时,一定会在浏览器栏中确认网站是否有绿锁图标和https网址。这五个字母是网站安全的一个重要缩写:它们表明在特定的网页上提供财务信息是安全的。
SSL证书很重要,因为它保证了网站和服务器之间的信息传输的安全性——如信用卡、个人数据和联系信息。
虽然SSL证书对于电子商务网站来说一直是必不可少的,但拥有SSL证书最近对于所有网站来说都变得非常重要。谷歌在2018年发布了一个Chrome更新。安全更新发布于七月,如果网站没有安装SSL证书,就会提醒网站访问者。这使得访问者更有可能弹出网站,即使网站没有收集敏感信息。
搜索引擎比以往任何时候都更加重视网站安全,因为它们希望用户在浏览网页时有一个积极和安全的体验。如果没有SSL证书,网站在搜索引擎的搜索结果中的排名会比较低。
这对企业而言意味着什么呢?如果想让人们信任某个品牌,就需要为SSL证书投资。SSL证书的成本很低,但它为客户提供的额外加密级别大大提高了网站的安全性和可靠性。
HostGator也非常重视网站的安全性,但最重要的是,我们想让访问者更容易获得安全性。所有HostGator虚拟主机都附带免费SSL证书。SSL证书将自动应用于客户的网站,但在网站上安装免费SSL证书确实需要采取几个步骤。
第三步:保持网站平台和软件是最新版本。
使用带有各种有用插件和扩展的CMS提供了很多好处,但也带来了很多风险。网站感染的主要原因是内容管理系统的可扩展组件存在漏洞。
因为这些工具中有许多是作为开源软件程序创建的,所以它们的代码很容易访问——无论是善意的开发人员还是恶意的黑客。黑客会仔细研究这些代码,寻找安全漏洞,利用这些平台或脚本漏洞控制网站。
为了保护网站免受黑客攻击,请始终确保内容管理系统、插件、应用程序以及安装的任何脚本都是最新版本。
如果正在运行WordPress网站,可以在登录WordPress仪表板时快速检查各项工具的版本。在网站名称旁边的左上角寻找更新图标。点击数字以访问WordPress更新。推荐阅读:《如何创建强密码来保护网站安全》
第四步:确保密码的安全性。
这个看起来很简单,但是很重要。
因为人们都想使用简单并且容易记住的密码。这就是为什么最常用的密码还是123456。必须使用更好的密码——要防止黑客和其他外人的登录尝试。
尽量选择一个真正安全的密码(或使用HostGator的密码生成器)。让它更长一点。混合使用特殊字符、数字和字母。避开那些可能容易猜到的关键词,比如生日或孩子的名字。如果黑客以某种方式获得了其他相关信息,他们就会根据这些信息作出猜测。
第一步是遵守密码安全性的高标准要求。还需要确保每个访问网站的人都有类似的强密码。团队中的一个弱密码可能会使网站容易发生数据泄漏,因此,所有有访问权限的人都必须设置强密码。
要求所有网站用户的密码长度和字符类型。如果员工想为他们不太安全的账户使用简单的密码,那是他们的事。但当涉及到网站,这是业务(字面上),可以设定更高的标准。
第五步:投资自动备份。
即使做了这上面的所有事情,仍然面临着风险。网站遭到入侵的最坏的情况是因为忘记备份网站而失去了所有心血。保护网站的最好方法是确保有一个最新的备份。
虽然数据泄露无论如何都会带来压力,但有当前备份时,恢复数据会容易得多。网站所有者可以养成每天或每周手动备份网站的习惯。但是,如果有哪怕是最微小的可能会忘记,那就投资自动备份。这是一种廉价的购买安心的方式。
保护网站免受黑客攻击的五个高级步骤
以上所有步骤都相对轻松,即使对于技术经验很少的网站所有者也是如此。这个列表的后半部分变得稍微复杂一些,可能需要呼叫开发人员或IT顾问来帮助解决问题。
第六步:在网站接收上传文件时采取预防措施。
当任何人都可以选择将某些内容上传到网站时,他们可能会滥用该特权,加载恶意文件、覆盖对网站重要的现有文件,或者上载一个导致整个网站崩溃的大文件。
如果可能的话,就是不要接受任何通过网站上传的文件。许多小企业网站根本不提供上传文件的选项就避免了此类风险。如果是这样,那么可以跳过此步骤中的所有其他内容。
但拒绝文件上传并不是所有网站的选择。某些类型的企业,如会计师或医疗保健提供商,需要为客户提供一种安全提供文档的方法。
如果需要允许文件上传,请采取几个步骤来确保保护自己:
- 创建允许文件扩展名的白名单。通过指定将接受哪些类型的文件,可以将可疑的文件类型排除在外。
- 使用文件类型验证。黑客试图通过重命名扩展名不同于实际文档类型的文档,或在文件名中添加点或空格,来偷偷绕过白名单过滤器。
- 设置最大文件大小。通过拒绝任何超过一定大小的文件来避免分布式拒绝服务(DDoS)攻击。
- 扫描文件中是否有恶意软件。在打开之前,请使用防病毒软件检查所有文件。
- 上传后自动重命名文件。黑客在查找文件时,如果文件的名称不同,他们将无法重新访问该文件。
- 将上传文件夹放在webroot之外。这使得黑客无法通过他们上传的文件访问网站。
这些步骤可以消除允许文件上传到网站的大部分固有漏洞。
第七步:使用参数化查询。
SQL注入是最常见的网站黑客攻击手段之一,许多网站都深受其害。
如果有允许外部用户提供信息的电子表单或URL参数,则SQL注入可以发挥作用。如果将字段的参数设置过于开放,可能会有人在其中插入允许访问数据库的代码。保护站点不受此影响非常重要,因为数据库中可能包含大量敏感的客户信息。
有许多步骤可以保护网站免受SQL注入;其中最重要和最容易实现的是使用参数化查询。使用参数化查询可以确保代码具有足够的特定参数,这样黑客就没有办法进行篡改。
第八步:使用CSP。
跨站点脚本(XSS)攻击是站点所有者必须警惕的另一种常见威胁。黑客找到了一种方法,将恶意JavaScript代码滑到页面上,然后可以感染任何接触到该代码的网站访问者的设备。
保护网站免受XSS攻击类似于SQL注入的参数化查询。确保在网站上使用的任何允许输入的函数或字段的代码在允许的范围内尽可能明确,这样就不会为任何内容的插入留下空间。
内容安全策略(CSP)是另一个方便的工具,可以帮助保护站点免受XSS攻击。CSP允许在网页上指定浏览器应该允许哪些可执行脚本的有效域。浏览器会知道不要注意任何可能感染网站访问者计算机的恶意脚本或恶意软件。
使用CSP需要在网页中添加适当的HTTP标头,该标头提供一系列指令,告诉浏览器哪些域没有问题,或者发现任何异常。点击此处找到有关为网站制作CSP标题的详细信息。
第九步:锁定目录和文件权限。
所有网站都可以归结为一系列文件和文件夹,存储在虚拟主机帐户中。除了包含使网站正常工作所需的所有脚本和数据外,还为每个文件和文件夹分配了一组权限,这些权限控制属于那些可以读取、写入和执行任何给定的文件或文件夹用户或所属组。推荐阅读:《如何保护网站免受SEO垃圾攻击》
在Linux操作系统上,权限可以视为三位数的代码,其中每个数字是0-7之间的整数。第一个数字表示文件所有者的权限,第二个数字代表分配给拥有该文件的组的任何人,第三个数字则代表所有其他人。分配工作如下:
- 4等于阅读
- 2等于编辑
- 1等于执行
- 0等于该用户没有权限
例如,以权限代码“644”为例。在本例中,第一个位置的“6”(或“4+2”)赋予文件所有者读写文件的能力。第二和第三个位置中的“4”表示组用户和广大互联网用户都只能读取文件,从而保护文件免受意外操作的影响。
因此,具有“777”(或4+2+1/4+2+1/4+2+1/4+2+1)权限的文件可由用户、组和世界上其他所有人读取、写入和执行。
正如所预料的那样,一个被分配了权限代码的文件,使网络上的任何人都能够写入和执行它,它的安全性远远低于一个被锁定仅为所有者保留所有权利的文件。当然,网站所有者有充分的理由向其他用户组开放访问(例如匿名FTP上载),但必须仔细考虑这些情况,以避免为网站带来任何安全风险。
因此,最好按如下方式设置权限:
- 文件夹和目录=755
- 单个文件=644
如果要设置文件权限,请登录到cPanel的文件管理器或通过FTP连接到服务器。进入后,将看到现有文件权限的列表(如下面使用Filezilla FTP程序生成的示例所示):
本例中的最后一列显示当前分配给网站内容的文件夹和文件权限。如果要在Filezilla中更改这些权限,只需右键单击有问题的文件夹或文件,然后选择“文件权限”选项。这样将打开一个界面,允许操作者使用一系列复选框分配不同的权限:
虽然虚拟主机或FTP程序的后端可能看起来略有不同,但更改权限的基本过程保持不变。支持门户提供了如何使用chmod权限修改文件夹和文件权限的解决方案。
第十步:错误消息简洁明了(但仍然有用)。
详细的错误消息可以在内部帮助识别出问题所在,从而知道如何解决问题。但当这些错误信息显示给外部访问者时,它们可能会泄露敏感信息,告诉潜在的黑客网站漏洞的确切位置。
要非常小心在错误信息中提供的信息,这样就不会提供黑客任何有用信息。保持错误信息足够简单,以免无意中泄露太多信息。但是也要避免歧义,这样访问者仍然可以从错误消息中了解到足够的信息,从而知道下一步要做什么。
保护电子商务商店免受黑客攻击的三个步骤
到目前为止,我们分享的所有提示都将有助于保护在线商店免受犯罪分子的攻击。话虽如此,由于电子商务网站是欺诈者和数据窃贼的热门目标,还需要采取额外措施来保护业务和客户。
第一步 :为商店获得第三方防欺诈服务,即使电子商务平台或支付提供商提供了欺诈保护服务。
如果已经免费获得了电子商务欺诈保护,为什么还要支付额外的费用呢?因为这额外的一层保护可以为节省时间,帮助避免因为错误而错失好的订单。
许多电子商务平台提供的欺诈保护在识别欺诈风险高的订单方面发挥了巨大作用。确定了这些订单之后,可以做些什么:全部拒绝,或者进行审查,然后决定批准哪些。
两种选择都有各自的风险。拒绝每一个可能是欺诈的订单,可能会因为一些小问题而拒绝很多好订单,比如运输和账单地址不匹配或者国外地址。很多被拒绝的客户不会再回头,所以随着时间的推移,自动拒绝会损失大量的收入。但是,审查有风险的订单需要时间和企业主可能不具备的专业知识。
一个提供人工审核的第三方服务可以让专家看一看欺诈风险高的订单,拒绝实际的欺诈企图,确定好的但看起来有点不靠谱的订单。避免欺诈,让好客户的资金源源不断地流入。
第二步:设置一些交易限制以抵御欺诈攻击。
犯罪分子很容易在网上获得被盗的信用卡号码,并用它们购买物品进行转售。但很多时候,这些卡号缺少最重要的CVV,即支付处理器完成交易所需的卡上的三位或四位数字。
信用卡诈骗者会做些什么?在许多情况下,他们会进行所谓的卡测试:访问一家结帐安全性较弱的小型在线商店,在购物车中添加一些小东西,并不断尝试不同的CVV,直到找到与他们试图使用的被盗卡号相匹配的卡号。
瞧!他们的订单通过了,他们可以去其他地方购买他们真正想要的高价商品,而企业主却被敲诈了。
现在想象一下,一个僵尸网络只在几分钟内对数百或数千次CVV匹配尝试进行卡测试,这样他们就可以更快地实施更多欺诈。事实上,不必想象,因为卡测试欺诈僵尸网络是一件事,它们会让企业在欺诈损失和退单费用方面损失一大笔钱。
为了防止诈骗机器人冒充买家结账,设置一些限制。
- 调整欺诈控制程序的设置,以限制客户可以尝试输入正确的CVV的次数,同时如果他们被拒绝太多次,阻止他们的IP地址。
- 设置一小时、一天、一周等时间内来自同一IP地址的事务数量限制,并阻止超过该限制的地址。
- 跟踪被拒绝的交易数量,如果发现交易数量激增,立即进行调查。
第三步:了解PCI-DSS需求和最佳实践。
PCI-DSS是支付卡行业的数据安全标准。每一个接受信用卡支付的商户都必须遵守该指南,以避免暴露其客户的支付数据并承担责任。
任何在站点上进行支付的任何支付平台、处理器或网关都应符合PCI-DSS,这减少了为保护支付数据安全而必须采取的一些步骤。不过,最终,了解基本要求是企业的责任,查看PCI安全标准委员会的免费资源也很有帮助。一个很好的起点是针对商家的数据安全要素评估工具,它可以显示网站上哪方面的安全性比较强,也会为需要加强的某些方面提供建议。
保护网站免受黑客攻击
从长远来看,保护网站并学习如何防范黑客是保持网站健康和安全的重要组成部分!赶快采取这些重要步骤。
HostGator创建了一套自定义的mod安全规则,可以帮助网站所有者保护网站。如果正在寻找一个新的虚拟主机提供商,可以点击这里注册,进行交易。对于新帐户,我们甚至会免费提供迁移服务!创建帐户后,只需在此处填写表单。
不要担心在这个过程中遇到任何问题。请阅读HostGator支持文章或联系客户支持专家之一,他们可通过聊天或电话全天候提供服务。我们可以帮助所有读者得到安全!推荐相关阅读:《如何更新小企业网站网络安全实践以及立即要采取的四个步骤》