dark

如何保护网站:您必须做的 7 件经过验证的事情

2021年11月2日

当人们问我如何以 100% 确定性保护网站时,我告诉他们这很简单:保持离线状态即可。

一旦他们停止对我大喊大叫,他们通常会将话题转向网站建设者和内容管理系统 (CMS),以找出哪个选项具有最佳安全性。

他们不明白的是,无论您是为博客使用网站构建器,还是使用 CMS 来支持您的业务,这都无关紧要;总会有风险的因素。

真正的问题是,管理该风险的责任在于您。如果这还不够糟糕,那么如果您尝试自己全部完成,事情可能会出错。真快。

这就是为什么在本文中,我将分享我保持网站安全的重要提示。别担心;这些不是您需要博士学位的技巧。来实施。

它们是简单而有价值的策略,您可以在一个下午的时间里实施。更好的是,它们有效。无论您采用哪种方法,每个选项都已经在与黑客和机器人的现实战斗中获得了成功。

让我们开始吧!

如何保护网站:顶级风险最小化策略

在保护网站方面没有太多保证。没有简单的修复方法可以让您永远远离黑客,最好的办法是实施这些策略来减少漏洞,同时增加快速恢复的机会。

  1. 安装 SSL 证书
  2. 实现多级登录安全
  3. 维护定期备份计划
  4. 使所有软件保持最新
  5. 使用 Web 应用程序防火墙 (WAF)
  6. 成为有效的网站管理员
  7. 保持警惕

需要知道如何快速保护#website?使用这些风险最小化策略🛡️

点击推文

 

1.安装SSL证书,到处使用HTTPS

如果您正在构建您的第一个网站,您可能会认为数据加密是只有大企业或调查记者需要的 007 东西。

但是,如果您计划从 Google 获取流量,您还需要 SSL 证书才能获得不错的排名。哎呀,您甚至需要一个来收集时事通讯的电子邮件

如果这一切看起来有点多,请记住,所有斗篷和匕首都有充分的理由。过去,您的用户发送到您的服务器的任何敏感信息都是纯文本格式。如果有人猛扑该信息,他们将能够阅读所有内容。这意味着密码、银行详细信息、电子邮件地址等等。

SSL 证书将所有敏感信息包装在一层加密中,使其无法读取。使用 SSL 证书是拥有安全网站的起点。否则,您的访问者会看到此警告:

铬警告

这就是为什么所有主要的网站建设者,如Wix 和 Squarespace,默认情况下为其网络上的每个网站启用 HTTPS。

对于我们其他人来说,获得 SSL 证书很容易。

现在大多数网络主机都提供简单的工具,让您只需点击几下即可安装 SSL 证书。如果是这样,请询问他们如何设置。我确定这很简单。例如,Bluehost在控制面板中提供 Let’s Encrypt 证书

Bluehost-SSL-scaled-1

如果您的主机由于某种原因没有提供简单的工具,您还可以按照他们的指南Let’s Encrypt生成免费的域验证证书完成后,前往cPanel或主机的自定义仪表板进行安装。

SSL-cpanel

如果您使用的是 WordPress,您可以使用真正简单的 SSL 插件来正确配置您的站点以在安装后使用 SSL 证书:


真正简单的 SSL真正简单的 SSL

 

作者(S):非常简单的插件

当前版本:5.1.2

最后更新:2021 年 10 月 13 日

really-simple-ssl.5.1.2.zip


100% 评分


5,000,000+安装


WP 4.9+需要

2. 保护您的登录页面和流程

在登录安全性方面,有很多内容需要涵盖。但是您可以通过两个简单的实现来走很长的路:强密码和多因素身份验证。

这是因为强大的登录安全性至少建立在两层之上。对我们来说,这将是您知道的(强密码)和您拥有的(代码发送到电子邮件、电话或电话)。

强密码太棒了;实际上不可能使用蛮力,也几乎不可能猜测。

但首先,帮自己一个忙并获取密码管理器在过去的三年里,我一直在使用1Password,它改变了游戏规则。为什么?两个原因:

  • 密码和密码短语生成器可以轻松创建(并定期更改)密码。
  • 有了密码数据库,我就可以停止所有的“记住这个密码”和自动登录业务。

虽然以上所有内容都非常适合保护您的密码,但您的用户呢?我建议使用WordPress 的密码策略管理器在 WordPress 网站上创建可执行的强密码策略。

获得安全密码后,请设置多重身份验证登录。所有这一切都意味着,每当有人想要登录您的网站时,他们都需要输入一个通常会发送到设备的代码。

Google Authenticator 和 Authy 在大多数网站建设者上都很容易设置。例如,对于 Squarespace,您可以在“设置”中找到该选项。

Squarespace-2fa

对于 WordPress,我可以推荐Wordfence,但您也可以使用miniOrange 的 Google Authenticator插件。

我们还有一个关于 WordPress 两因素身份验证的指南

如果您从头开始构建某些东西,您可以使用Google 的 Identity Platform将 Google Authenticator 与您的网站集成。

3. 定期备份您的网站

学习如何保护网站就像创建备份计划一样简单。

您可能认为没有黑客曾被备份吓跑过。而且,你是对的;备份是一种预防措施。但是,它们也为您提供了一个安全的地方,可以在危机中恢复过来。每个流行的网站建设者都有不同的方法:

  • Wix 为您的站点提供每周自动备份
  • Shopify 广受欢迎的Rewind 应用程序是少数备份应用程序之一。
  • Squarespace 的备份选项有限,从创建复制站点到导出 XML 文件。
  • WordPress 用户可以利用任意数量的插件来创建安全备份。

对于 WordPress 用户,我推荐(并使用) UpdraftPlus使用免费版本,您可以无限制地直接备份到云端,包括 Google Drive、Dropbox、Amazon S3 等。UpdraftPlus 甚至可以帮助您在危机中恢复您的网站。


UpdraftPlus WordPress 备份插件UpdraftPlus WordPress 备份插件

 

作者 (s): UpdraftPlus.Com, DavidAnderson

当前版本:1.16.62

最后更新:2021 年 10 月 4 日

updraftplus.1.16.62.zip


96% 评分


3,000,000+安装


WP 3.2+需要

4. 使所有软件保持最新

我会说实话;我喜欢 WordPress 之类的工具,因为主题和插件让一切变得简单。您想在您的网站上展示食谱吗?可能有几百个专门为此目的构建的插件。这不仅仅是 WordPress;在 Wix 和Shopify 中,应用程序可帮助您实现很多目标,而无需输入任何代码。听起来很棒,对吧?有点。

它们还使保护您的代码变得困难。仅一种编码不当的第三方产品就可以增加您网站的攻击面。而且,如果您不定期更新,就会造成很多漏洞。

但是,如果您执行以下操作,则可以减少漏洞:

  • 删除您不使用的程序。
  • 不断更新您使用的程序。
  • 仅使用已证明可以维护其产品的开发人员的程序、插件和主题。
  • 研究您计划与之集成的任何网络。

如果您使用 WordPress,软件本身以及您使用的任何主题和插件有更新时,您将在仪表板中收到通知您还可以利用涵盖上述所有内容的自动更新功能

对于最安全的选择,请查看托管托管计划。您不仅会享受强化的安全性,而且还会有人负责处理整个 WordPress 网站的更新。您可以随时了解有关托管 WordPress 托管的更多信息

5. 使用 Web 应用程序防火墙 (WAF) 进行主动保护

如果您想利用 Arnold Schwarzenegger 的强大功能保护网站,请购买 Web 应用程序防火墙 (WAF)。

如果您在过去 25 年中使用过互联网,那么您就会熟悉防火墙。Web 应用程序防火墙类似于计算机上的防火墙,因为它使用预定义的规则来识别和阻止攻击。这使得它们特别适合根除常见的攻击,例如跨站点脚本 (XSS)、跨站点伪造和SQL 注入等。

即使威胁范​​围不断变化,WAF 也是必不可少的工具。您会注意到一件事,大多数现代 WAF 可以在发现新漏洞时快速修改和部署规则。

作为第一道防线,WAF 主要有以下三种形式:

  • 由硬件防火墙支持的基于网络 – 轻松地是您从Kinsta精英主机Squarespace等网站建设者那里获得的最强大的防火墙
  • 基于主机 – 涵盖通过插件或应用程序集成到应用程序本身的任何 WAF。
  • 基于云 – 最受欢迎且易于集成的安全选项。

对于 WordPress 用户来说,Wordfence 再次可能是最好的解决方案。

6. 成为有效的网站管理员

作为网站的管理员,有许多繁琐的事情需要跟踪,但掌握它们将对网站的安全性产生重大影响。

让我们快速浏览一下:

  • 用户角色:跟踪用户角色,以便了解谁有权访问数据、谁可以进行更改以及他们拥有哪些其他权限。只为用户提供完成任务所需的角色。除此之外的任何事情都是一个漏洞。
  • 监控用户正在做什么并清除不活跃的用户:WP Activity Log 可以帮助您跟踪用户的行为以防范恶意活动。


WP 活动日志WP 活动日志

 

作者:WP White Security

当前版本:4.3.2

最后更新:2021 年 8 月 3 日

wp-security-audit-log.4.3.2.zip


94% 评分


100,000+安装


WP 4.4+需要

  • 通过删除自动批准手动审核所有评论。
  • 拒绝任何包含链接或代码的评论。虽然不再常见,但评论部分中的恶意代码曾经是一回事。
  • 限制可以在评论或表单中上传的文件类型。
  • 对任何上传进行扫描和验证。Sucuri 是最好的选择。


Sucuri Security – 审计、恶意软件扫描程序和安全加固Sucuri Security – 审计、恶意软件扫描程序和安全加固

 

作者 (s): Juices Inc.

当前版本:1.8.30

最后更新:2021 年 10 月 7 日

sucuri-scanner.1.8.30.zip


86% 评分


800,000+安装


WP 3.6+需要

7. 保持警惕

如果您已经实施了上述解决方案,您就已经显着减少了黑客可以用来接管您网站的攻击面。

但是,如果您打算保持这种状态,则需要定期扫描您的网站以及您在其上发布的任何外部内容,例如广告。

例如,通过与受信任的广告网络合作并在所有广告创意在您的网站上发布之前对其进行扫描和测试,以防止恶意广告。

市场领导者之一Sucuri SiteCheck也是免费的,它会标记影响您网站前端的任何病毒、恶意软件和恶意代码。

Sitescanner 果汁

对于任务关键型站点,最好还创建包含两层方法的定期安全审核:

使用渗透测试工具(如Pentest Tools 网站扫描仪)来揭示攻击面的大小。使用超过 25 种不同的扫描工具,您将发现网络问题、Google 索引的敏感页面,甚至 SSL 连接的强度。

对包含常见安全弱点的清单进行交叉检查的漏洞评估:

  • 定期检查不活动的插件、主题或其他第三方产品。
  • 确认工具已更新为最近的更新。
  • 按最近的活动过滤用户并考虑删除不活动的用户。
  • 建立具有特殊访问权限(如 FTP 访问和 SSH 访问)的用户列表,并确定他们是否需要以及需要​​多长时间。

对于一个简单的爱好博客来说,这些策略可能有点矫枉过正,但它们可以帮助您防止重要站点出现问题。

转到顶部

立即保护您的网站!

如果您正在运营一个网站,您不仅要对数据的安全负责,还要对访问者、客户和同事的数据负责。但是,没有压力。

想要保护#website 但不知道从哪里开始?试试这些策略🛡️

点击推文

 

在过去,提供一个安全的网站似乎让人不知所措。但今天?您不需要庞大的预算或多年的编码经验来保护网站并确保用户安全。

事实上,通过我们的七步风险最小化方法,您已经知道如何有效保护网站:

  • 安装 SSL 证书
  • 实现多级登录安全
  • 维护定期备份计划
  • 使所有软件保持最新
  • 使用 Web 应用程序防火墙 (WAF)
  • 成为有效的网站管理员
  • 保持警惕
相关文章