保護網站的 8 個注意事項!

08.26.2020  - 作者  在 安全性

在網路世界中,信任是不可或缺的要素。無論是長期訪問您網站的用戶或是剛開始瀏覽您網站的用戶,他們都想知道他們是否可以信任您。如果您在網站上販售產品或是服務,他們會想確定是否可以信任您的網站,並在上面提供他們的信用卡號及地址。即使您的網站只提供訊息, 他們需要知道,訪問您的網站不會使某些可怕的電腦病毒駭進他們的電腦中。

因此,建立信任關係的一個重要部分就是擁有一個安全的網站。如果您在經營一個不安全的網站,或者如果您才剛開始經營您的網站,您或許不知道如何有效地保護您的網站。今天我們就要討論如何讓您的網站成為一個安全的網站。

SSL 憑證

在過去,您瀏覽使用 HTTP 網站的機率和使用 HTTPS 網站的機率幾乎一樣,然而在今日,也無法透過非 HTTPS 的方式連線到您的網站。

SSL 或是 TLS,是一個能夠讓您啟用您網站上 HTTPS 功能的憑證。它不只是讓您的網站看起來安全。憑證不但能啟用您網站上的 HTTPS 功能,以確保使用者在您的網站中提供給您的資訊能夠安全傳送,並且不被第三方看見,它也代表著,當您必須登入您的網站後台並在您的 CMS 中發佈訊息時,您的使用者名稱及密碼都不會被竊取。

立即購買 SSL 憑證保護您的網站

密碼和權限

為您的網站後台設定一組強大的密碼策略及良好的權限也是維持您網站安全的要素之一。

強大的密碼策略並不表示您需要每 90 天就更換一次密碼,但它必須至少要由 8 個(含) 以上的字符組成

也就是說,當您在設定您的網站時,您應該要更改那些用於登入您的網站和資料庫的預設密碼。

如果可以限制登入失敗的嘗試次數,您還可以防止暴力攻擊。所謂的暴力攻擊指的是攻擊者快速且連續嘗試各種可能的密碼。

為了增加安全性,您可以在伺服器層級中使用密碼去保護任何管理和登入頁面。如此一來,攻擊者甚至無法進入登入頁面去嘗試以暴力方式破解您的網站。

如果您有多個人員在編輯您的網站,您需要確認您所授予他們的權限符合他們的工作需求,不應給予過多的權限。當有人員離開該工作項目時,須確實移除他們權限以防止他們日後再次登入。

軟體即時更新

沒有任何一個軟體是完美的,而攻擊者始終不停地尋找新方法,以破解用於網站運作的軟體。尤其如果您使用的是像 WordPress 這類的 CMS,即時更新您網站上的軟體會是件相當重要的事。也就是說,您也需要隨時更新 WordPress 上的外掛。

這不僅表示您要即時更新外掛和主題以確保它們的可用性,而且您要主動去確認,您所使用的外掛和主題都是由開發人員定期去維護和更新。

手動審核評論

在您發佈的文章下留下評論是建立與受眾互動的一種好方法,但它們也會吸引垃圾郵件和網路機器人。

某些攻擊者會在留言中加入惡意連結,該連結會指向一個詐騙或惡意網站。 有時,評論也可以用來將惡意程式注入您的網站。

避免這些潛在陷阱的一個好方法是,要求所有評論必須在您的網站上手動審核。

您應該在任何類型的表單提交中使用 CAPTCHA,以防止垃圾郵件機器人發佈訊息。

安裝安全相關外掛

如果您使用的是像 WordPress 這類型使用外掛的 CMS,您通常可以找到具良好安全性的相關外掛,這些外掛可以幫助您維持網站的安全,甚至使您的網站更加安全。

舉例來說,外掛可能允許您在登入頁面啟用雙因素身份驗證、掃描您網站中的安全漏洞,或自動登出那些從不互動的用戶。

禁止瀏覽目錄

目錄瀏覽讓任何人都可以瀏覽您的網站的文件結構,有時會洩漏出您網站上易受攻擊的文件的訊息,或可用於收集有關您網站目錄結構的訊息。

幸運的是,您可以在目錄的 .htaccess 文件中停用此項功能。您可以透過 sFTP 編輯您的 .htaccess 文件,並在文件的結尾加入下方指令:

Options -Indexes

以防止公開目錄內容

同樣地,可以透過伺服器設定檔執行以進一步控制權限。您將會需要知道哪些目錄不需要執行程式碼。例如,如果您使用的是 WordPress,您可以在您的 /wp-includes/ 和 /wp-content/uploads/ 目錄中禁用 PHP 執行。

您可以將以下內容添加到這些目錄中的 .htaccess 文件中來執行此項操作:

<Files *.php>
deny from all
</Files>

最後,您可以保護文件及文件夾權限。顯示的內容會根據您查看您的文件和文件夾的方式而有所不同,但是權限會規結為以下幾種組合:讀取、寫入,執行。

最簡單的方式是找到可以在其中輸入權限的數字值,並且將 644 使用於文件,755 使用於目錄。644 代表的是文件的所有人擁有讀取和寫入該文件的權限,而其他系統使用者只擁有讀取權限。755 則代表所有使用者都擁有讀取和執行的權限,但只有所有人擁有寫入的權限。

通常,CMS 也會提供有關如何 “強化” 安裝的具體說明,像是這個由 WordPress 提供的說明文件。對於特定於您正在使用的 CMS 的建議,這些都是很好的參考資源。

備份檔案

如果您的網站真的發生了什麼問題,無論是惡意的還是意外事件,擁有最近時間的備份是回復您網站運行的關鍵。

別忘了 3-2-1 備份法則:3 個備份、2 種裝置,以 1 個離線備份。意思是,您應該要準備 3 個備份檔案,並且分別存放在 2 種不同的裝置上,並且要準備 1 個離線備份。

如何備份您的網站

使用安全的主機代管供應商

最終,您可以採取所有這些預防措施,但是別忘了,如果沒有安全的網頁代管供應商,無論您採用何種措施都是徒勞的。

特別是,您的網頁代管供應商應該要不斷地監視其網路,並隨時將伺服器軟體更新。當您在尋找網頁代管公司時,這些都是基本知識,但是您的網頁代管供應商的帳戶安全性也是相當重要。

舉例來說,您應該確保您的網頁代管供應商有提供雙因素身份驗證的服務,並可以透過這項服務訪問您的帳戶。

一個安全的網站對於建立與您的網站用戶之間的信任是非常重要的,實施上述建議不只可以幫助您保護您的網站和您的網站用戶,還可以與您的網站瀏覽者,也就是網站中最重要的人,建立信任關係。