保护网站的 8 个注意事项!

08.26.2020  - 作者  在 安全性

在网路世界中,信任是不可或缺的要素。无论是长期访问您网站的用户或是刚开始浏览您网站的用户,他们都想知道他们是否可以信任您。如果您在网站上贩售产品或是服务,他们会想确定是否可以信任您的网站,并在上面提供他们的信用卡号及地址。即使您的网站只提供讯息, 他们需要知道,访问您的网站不会使某些可怕的电脑病毒骇进他们的电脑中。

因此,建立信任关係的一个重要部分就是拥有一个安全的网站。如果您在经营一个不安全的网站,或者如果您才刚开始经营您的网站,您或许不知道如何有效地保护您的网站。今天我们就要讨论如何让您的网站成为一个安全的网站。

SSL 凭证

在过去,您浏览使用 HTTP 网站的机率和使用 HTTPS 网站的机率几乎一样,然而在今日,也无法透过非 HTTPS 的方式连线到您的网站。

SSL 或是 TLS,是一个能够让您启用您网站上 HTTPS 功能的凭证。它不只是让您的网站看起来安全。凭证不但能启用您网站上的 HTTPS 功能,以确保使用者在您的网站中提供给您的资讯能够安全传送,并且不被第三方看见,它也代表着,当您必须登入您的网站后台并在您的 CMS 中發佈讯息时,您的使用者名称及密码都不会被窃取。

立即购买 SSL 凭证保护您的网站

密码和权限

为您的网站后台设定一组强大的密码策略及良好的权限也是维持您网站安全的要素之一。

强大的密码策略并不表示您需要每 90 天就更换一次密码,但它必须至少要由 8 个(含)以上的字符组成

也就是说,当您在设定您的网站时,您应该要更改那些用于登入您的网站和资料库的默认密码。

如果可以限制登入失败的尝试次数,您还可以防止暴力攻击。所谓的暴力攻击指的是攻击者快速且连续尝试各种可能的密码。

为了增加安全性,您可以在伺服器层级中使用密码去保护任何管理和登入页面。如此一来,攻击者甚至无法进入登入页面去尝试以暴力方式破解您的网站。

如果您有多个人员在编辑您的网站,您需要确认您所授予他们的权限符合他们的工作需求,不应给予过多的权限。当有人员离开该工作项目时,须确实移除他们权限以防止他们日后再次登入。

软体即时更新

没有任何一个软体是完美的,而攻击者始终不停地寻找新方法,以破解用于网站运作的软体。尤其如果您使用的是像 WordPress 这类的 CMS,即时更新您网站上的软体会是件相当重要的事。也就是说,您也需要随时更新 WordPress 上的外挂。

这不仅表示您要即时更新外挂和主题以确保它们的可用性,而且您要主动去确认,您所使用的外挂和主题都是由开發人员定期去维护和更新。

手动审核评论

在您發佈的文章下留下评论是建立与受众互动的一种好方法,但它们也会吸引垃圾邮件和网路机器人。

某些攻击者会在留言中加入恶意连结,该连结会指向一个诈骗或恶意网站。 有时,评论也可以用来将恶意程式注入您的网站。

避免这些潜在陷阱的一个好方法是,要求所有评论必须在您的网站上手动审核。

您应该在任何类型的表单提交中使用 CAPTCHA,以防止垃圾邮件机器人發佈讯息。

安装安全相关外挂

如果您使用的是像 WordPress 这类型使用外挂的 CMS,您通常可以找到具良好安全性的相关外挂,这些外挂可以帮助您维持网站的安全,甚至使您的网站更加安全。

举例来说,外挂可能允许您在登入页面启用双因素身份验证、扫描您网站中的安全漏洞,或自动登出那些从不互动的用户。

禁止浏览目录

目录浏览让任何人都可以浏览您的网站的文件结构,有时会洩漏出您网站上易受攻击的文件的讯息,或可用于收集有关您网站目录结构的讯息。

幸运的是,您可以在目录的 .htaccess 文件中停用此项功能。您可以透过 sFTP 编辑您的 .htaccess 文件,并在文件的结尾加入下方指令:

Options -Indexes

以防止公开目录内容

同样地,可以透过伺服器设定档执行以进一步控制权限。您将会需要知道哪些目录不需要执行程式码。例如,如果您使用的是 WordPress,您可以在您的 /wp-includes/ 和 /wp-content/uploads/ 目录中禁用 PHP 执行。

您可以将以下内容添加到这些目录中的 .htaccess 文件中来执行此项操作:

<Files *.php>
deny from all
</Files>

最后,您可以保护文件及文件夹权限。显示的内容会根据您查看您的文件和文件夹的方式而有所不同,但是权限会规结为以下几种组合:读取、写入,执行。

最简单的方式是找到可以在其中输入权限的数字值,并且将 644 使用于文件,755 使用于目录。644 代表的是文件的所有人拥有读取和写入该文件的权限,而其他系统使用者只拥有读取权限。755 则代表所有使用者都拥有读取和执行的权限,但只有所有人拥有写入的权限。

通常,CMS 也会提供有关如何 “强化” 安装的具体说明,像是这个由 WordPress 提供的说明文件。对于特定于您正在使用的 CMS 的建议,这些都是很好的参考资源。

备份档案

如果您的网站真的發生了什麽问题,无论是恶意的还是意外事件,拥有最近时间的备份是回復您网站运行的关键。

别忘了 3-2-1 备份法则:3 个备份、2 种装置,以 1 个离线备份。意思是,您应该要准备 3 个备份档案,并且分别存放在 2 种不同的装置上,并且要准备 1 个离线备份。

如何备份您的网站

使用安全的主机代管供应商

最终,您可以採取所有这些预防措施,但是别忘了,如果没有安全的网页代管供应商,无论您採用何种措施都是徒劳的。

特别是,您的网页代管供应商应该要不断地监视其网路,并随时将伺服器软体更新。当您在寻找网页代管公司时,这些都是基本知识,但是您的网页代管供应商的帐户安全性也是相当重要。

举例来说,您应该确保您的网页代管供应商有提供双因素身份验证的服务,并可以透过这项服务访问您的帐户。

一个安全的网站对于建立与您的网站用户之间的信任是非常重要的,实施上述建议不只可以帮助您保护您的网站和您的网站用户,还可以与您的网站浏览者,也就是网站中最重要的人,建立信任关係。