dark

如何保護網站:您必須做的 7 件經過驗證的事情

2021年11月2日

當人們問我如何以 100% 確定性保護網站時,我告訴他們這很簡單:保持離線狀態即可。

一旦他們停止對我大喊大叫,他們通常會將話題轉向網站建設者和內容管理系統 (CMS),以找出哪個選項具有最佳安全性。

他們不明白的是,無論您是為博客使用網站構建器,還是使用 CMS 來支持您的業務,這都無關緊要;總會有風險的因素。

真正的問題是,管理該風險的責任在於您。如果這還不夠糟糕,那麼如果您嘗試自己全部完成,事情可能會出錯。真快。

這就是為什麼在本文中,我將分享我保持網站安全的重要提示。別擔心;這些不是您需要博士學位的技巧。來實施。

它們是簡單而有價值的策略,您可以在一個下午的時間裡實施。更好的是,它們有效。無論您採用哪種方法,每個選項都已經在與黑客和機器人的現實戰鬥中獲得了成功。

讓我們開始吧!

如何保護網站:頂級風險最小化策略

在保護網站方面沒有太多保證。沒有簡單的修復方法可以讓您永遠遠離黑客,最好的辦法是實施這些策略來減少漏洞,同時增加快速恢復的機會。

  1. 安裝 SSL 證書
  2. 實現多級登錄安全
  3. 維護定期備份計劃
  4. 使所有軟體保持最新
  5. 使用 Web 應用程序防火牆 (WAF)
  6. 成為有效的網站管理員
  7. 保持警惕

需要知道如何快速保護#website?使用這些風險最小化策略🛡️

點擊推文

 

1.安裝SSL證書,到處使用HTTPS

如果您正在構建您的第一個網站,您可能會認為數據加密是只有大企業或調查記者需要的 007 東西。

但是,如果您計劃從 Google 獲取流量,您還需要 SSL 證書才能獲得不錯的排名。哎呀,您甚至需要一個來收集時事通訊的電子郵件

如果這一切看起來有點多,請記住,所有斗篷和匕首都有充分的理由。過去,您的用戶發送到您的伺服器的任何敏感信息都是純文本格式。如果有人猛撲該信息,他們將能夠閱讀所有內容。這意味著密碼、銀行詳細信息、電子郵件地址等等。

SSL 證書將所有敏感信息包裝在一層加密中,使其無法讀取。使用 SSL 證書是擁有安全網站的起點。否則,您的訪問者會看到此警告:

鉻警告

這就是為什麼所有主要的網站建設者,如Wix 和 Squarespace,默認情況下為其網路上的每個網站啟用 HTTPS。

對於我們其他人來說,獲得 SSL 證書很容易。

現在大多數網路主機都提供簡單的工具,讓您只需點擊幾下即可安裝 SSL 證書。如果是這樣,請詢問他們如何設置。我確定這很簡單。例如,Bluehost在控制面板中提供 Let’s Encrypt 證書

Bluehost-SSL-scaled-1

如果您的主機由於某種原因沒有提供簡單的工具,您還可以按照他們的指南Let’s Encrypt生成免費的域驗證證書完成後,前往cPanel或主機的自定義儀錶板進行安裝。

SSL-cpanel

如果您使用的是 WordPress,您可以使用真正簡單的 SSL 插件來正確配置您的站點以在安裝後使用 SSL 證書:


真正簡單的 SSL真正簡單的 SSL

 

作者(S):非常簡單的插件

當前版本:5.1.2

最後更新:2021 年 10 月 13 日

really-simple-ssl.5.1.2.zip


100% 評分


5,000,000+安裝


WP 4.9+需要

2. 保護您的登錄頁面和流程

在登錄安全性方面,有很多內容需要涵蓋。但是您可以通過兩個簡單的實現來走很長的路:強密碼和多因素身份驗證。

這是因為強大的登錄安全性至少建立在兩層之上。對我們來說,這將是您知道的(強密碼)和您擁有的(代碼發送到電子郵件、電話或電話)。

強密碼太棒了;實際上不可能使用蠻力,也幾乎不可能猜測。

但首先,幫自己一個忙併獲取密碼管理器在過去的三年里,我一直在使用1Password,它改變了遊戲規則。為什麼?兩個原因:

  • 密碼和密碼短語生成器可以輕鬆創建(並定期更改)密碼。
  • 有了密碼資料庫,我就可以停止所有的「記住這個密碼」和自動登錄業務。

雖然以上所有內容都非常適合保護您的密碼,但您的用戶呢?我建議使用WordPress 的密碼策略管理器在 WordPress 網站上創建可執行的強密碼策略。

獲得安全密碼後,請設置多重身份驗證登錄。所有這一切都意味著,每當有人想要登錄您的網站時,他們都需要輸入一個通常會發送到設備的代碼。

Google Authenticator 和 Authy 在大多數網站建設者上都很容易設置。例如,對於 Squarespace,您可以在「設置」中找到該選項。

Squarespace-2fa

對於 WordPress,我可以推薦Wordfence,但您也可以使用miniOrange 的 Google Authenticator插件。

我們還有一個關於 WordPress 兩因素身份驗證的指南

如果您從頭開始構建某些東西,您可以使用Google 的 Identity Platform將 Google Authenticator 與您的網站集成。

3. 定期備份您的網站

學習如何保護網站就像創建備份計劃一樣簡單。

您可能認為沒有黑客曾被備份嚇跑過。而且,你是對的;備份是一種預防措施。但是,它們也為您提供了一個安全的地方,可以在危機中恢復過來。每個流行的網站建設者都有不同的方法:

  • Wix 為您的站點提供每周自動備份
  • Shopify 廣受歡迎的Rewind 應用程序是少數備份應用程序之一。
  • Squarespace 的備份選項有限,從創建複製站點到導出 XML 文件。
  • WordPress 用戶可以利用任意數量的插件來創建安全備份。

對於 WordPress 用戶,我推薦(並使用) UpdraftPlus使用免費版本,您可以無限制地直接備份到雲端,包括 Google Drive、Dropbox、Amazon S3 等。UpdraftPlus 甚至可以幫助您在危機中恢復您的網站。


UpdraftPlus WordPress 備份插件UpdraftPlus WordPress 備份插件

 

作者 (s): UpdraftPlus.Com, DavidAnderson

當前版本:1.16.62

最後更新:2021 年 10 月 4 日

updraftplus.1.16.62.zip


96% 評分


3,000,000+安裝


WP 3.2+需要

4. 使所有軟體保持最新

我會說實話;我喜歡 WordPress 之類的工具,因為主題和插件讓一切變得簡單。您想在您的網站上展示食譜嗎?可能有幾百個專門為此目的構建的插件。這不僅僅是 WordPress;在 Wix 和Shopify 中,應用程序可幫助您實現很多目標,而無需輸入任何代碼。聽起來很棒,對吧?有點。

它們還使保護您的代碼變得困難。僅一種編碼不當的第三方產品就可以增加您網站的攻擊面。而且,如果您不定期更新,就會造成很多漏洞。

但是,如果您執行以下操作,則可以減少漏洞:

  • 刪除您不使用的程序。
  • 不斷更新您使用的程序。
  • 僅使用已證明可以維護其產品的開發人員的程序、插件和主題。
  • 研究您計劃與之集成的任何網路。

如果您使用 WordPress,軟體本身以及您使用的任何主題和插件有更新時,您將在儀錶板中收到通知您還可以利用涵蓋上述所有內容的自動更新功能

對於最安全的選擇,請查看託管託管計劃。您不僅會享受強化的安全性,而且還會有人負責處理整個 WordPress 網站的更新。您可以隨時了解有關託管 WordPress 託管的更多信息

5. 使用 Web 應用程序防火牆 (WAF) 進行主動保護

如果您想利用 Arnold Schwarzenegger 的強大功能保護網站,請購買 Web 應用程序防火牆 (WAF)。

如果您在過去 25 年中使用過互聯網,那麼您就會熟悉防火牆。Web 應用程序防火牆類似於計算機上的防火牆,因為它使用預定義的規則來識別和阻止攻擊。這使得它們特別適合根除常見的攻擊,例如跨站點腳本 (XSS)、跨站點偽造和SQL 注入等。

即使威脅范​​圍不斷變化,WAF 也是必不可少的工具。您會注意到一件事,大多數現代 WAF 可以在發現新漏洞時快速修改和部署規則。

作為第一道防線,WAF 主要有以下三種形式:

  • 由硬體防火牆支持的基於網路 – 輕鬆地是您從Kinsta精英主機Squarespace等網站建設者那裡獲得的最強大的防火牆
  • 基於主機 – 涵蓋通過插件或應用程序集成到應用程序本身的任何 WAF。
  • 基於雲 – 最受歡迎且易於集成的安全選項。

對於 WordPress 用戶來說,Wordfence 再次可能是最好的解決方案。

6. 成為有效的網站管理員

作為網站的管理員,有許多繁瑣的事情需要跟蹤,但掌握它們將對網站的安全性產生重大影響。

讓我們快速瀏覽一下:

  • 用戶角色:跟蹤用戶角色,以便了解誰有權訪問數據、誰可以進行更改以及他們擁有哪些其他許可權。只為用戶提供完成任務所需的角色。除此之外的任何事情都是一個漏洞。
  • 監控用戶正在做什麼並清除不活躍的用戶:WP Activity Log 可以幫助您跟蹤用戶的行為以防範惡意活動。


WP 活動日誌WP 活動日誌

 

作者:WP White Security

當前版本:4.3.2

最後更新:2021 年 8 月 3 日

wp-security-audit-log.4.3.2.zip


94% 評分


100,000+安裝


WP 4.4+需要

  • 通過刪除自動批准手動審核所有評論。
  • 拒絕任何包含鏈接或代碼的評論。雖然不再常見,但評論部分中的惡意代碼曾經是一回事。
  • 限制可以在評論或表單中上傳的文件類型。
  • 對任何上傳進行掃描和驗證。Sucuri 是最好的選擇。


Sucuri Security – 審計、惡意軟體掃描程序和安全加固Sucuri Security – 審計、惡意軟體掃描程序和安全加固

 

作者 (s): Juices Inc.

當前版本:1.8.30

最後更新:2021 年 10 月 7 日

sucuri-scanner.1.8.30.zip


86% 評分


800,000+安裝


WP 3.6+需要

7. 保持警惕

如果您已經實施了上述解決方案,您就已經顯著減少了黑客可以用來接管您網站的攻擊面。

但是,如果您打算保持這種狀態,則需要定期掃描您的網站以及您在其上發布的任何外部內容,例如廣告。

例如,通過與受信任的廣告網路合作並在所有廣告創意在您的網站上發布之前對其進行掃描和測試,以防止惡意廣告。

市場領導者之一Sucuri SiteCheck也是免費的,它會標記影響您網站前端的任何病毒、惡意軟體和惡意代碼。

Sitescanner 果汁

對於任務關鍵型站點,最好還創建包含兩層方法的定期安全審核:

使用滲透測試工具(如Pentest Tools 網站掃描儀)來揭示攻擊面的大小。使用超過 25 種不同的掃描工具,您將發現網路問題、Google 索引的敏感頁面,甚至 SSL 連接的強度。

對包含常見安全弱點的清單進行交叉檢查的漏洞評估:

  • 定期檢查不活動的插件、主題或其他第三方產品。
  • 確認工具已更新為最近的更新。
  • 按最近的活動過濾用戶並考慮刪除不活動的用戶。
  • 建立具有特殊訪問許可權(如 FTP 訪問和 SSH 訪問)的用戶列表,並確定他們是否需要以及需要​​多長時間。

對於一個簡單的愛好博客來說,這些策略可能有點矯枉過正,但它們可以幫助您防止重要站點出現問題。

轉到頂部

立即保護您的網站!

如果您正在運營一個網站,您不僅要對數據的安全負責,還要對訪問者、客戶和同事的數據負責。但是,沒有壓力。

想要保護#website 但不知道從哪裡開始?試試這些策略🛡️

點擊推文

 

在過去,提供一個安全的網站似乎讓人不知所措。但今天?您不需要龐大的預算或多年的編碼經驗來保護網站並確保用戶安全。

事實上,通過我們的七步風險最小化方法,您已經知道如何有效保護網站:

  • 安裝 SSL 證書
  • 實現多級登錄安全
  • 維護定期備份計劃
  • 使所有軟體保持最新
  • 使用 Web 應用程序防火牆 (WAF)
  • 成為有效的網站管理員
  • 保持警惕
相關文章