在維持在線狀态方面,安全并不是我(wǒ)們一(yī)直在考慮的問題,但是如今值得考慮。網絡攻擊一(yī)直在發生(shēng),幾乎所有這些都是可以預防的。
在本文中(zhōng),我(wǒ)們青島網絡推廣公司将介紹如何保護您的網站安全,并且您不必雇用安全專業人士來做到這一(yī)點。您可以按照一(yī)些基本步驟操作,以使您的網站更加安全,成功攻擊的可能性也小(xiǎo)得多。
我(wǒ)們将從基礎知(zhī)識開始,然後逐步發展到更高的安全措施,但是所有這些步驟都很容易實現。
制作網站審核清單
每當執行一(yī)項艱巨的任務時,核對清單都是一(yī)個好主意,确保網站安全的任務也不例外(wài)。本文中(zhōng)的每條建議都是您網站安全檢查表上的一(yī)項。創建清單後,每次在網站上執行安全審核時,該清單都可以作爲您的指南(nán)。
您不必在每次評估網站安全性時都進行深入審核,但是建議您對第一(yī)個網站進行盡可能詳盡的工(gōng)作。
現在,讓我(wǒ)們看一(yī)下(xià)您應該在網站安全審核清單中(zhōng)包括哪些内容。
從一(yī)些基本的CMS設置開始
您的内容管理系統(CMS)是您網站的心髒。通過其登錄門戶,您可以對網站進行任何操作,從發布和删除内容到使網站脫機。您絕對不希望未經授權的用戶在這裏登錄,因此這是開始實施安全措施的合理位置。
檢查此元素以确保yoru網站安全
這裏是一(yī)些重要的事情首先要檢查。
用戶設置:這是一(yī)個很大(dà)的設置。如果在CMS平台上啓用了不需要的用戶,則禁用它們是一(yī)種很好的安全做法。如果有任何默認用戶(例如admin帳戶),則必須确保更改了默認密碼。
除了設置強密碼之外(wài),将您的管理員帳戶的用戶名更改爲您将要記住的用戶名,例如您自己的名稱的變體,這很難猜到。這樣,默認憑據将變得無用,并且管理員用戶名和密碼都将難以被猜測。
評論設置:您需要注意網站正在處理的用戶輸入。不建議讓匿名用戶訪問您網站上的評論,因爲對自己的行爲不負責任的人發布的評論通常少于奉承的評論。Bot是另一(yī)個問題,因爲可以使用Bot将垃圾郵件泛濫到您的評論部分(fēn)。
信息的一(yī)般可見性:您不應該公開有關網站後端的任何信息。攻擊者将嘗試探測您的安裝,以找到可用于您的站點的攻擊媒介和工(gōng)具。
即使知(zhī)道您正在運行的軟件和插件的版本,也可以爲攻擊者提供幫助。通常的經驗法則是,您不希望任何人看到除您打算爲用戶提供的内容以外(wài)的任何内容。
輸入驗證:您網站上任何接受用戶輸入的地方都需要進行體面的輸入驗證。那就是過濾或禁止輸入特定字符和擊鍵的任何内容。SQL注入攻擊可以通過添加特殊字符來欺騙您的系統以執行SQL查詢。
這會誘騙您的網站運行它認爲來自經過驗證的用戶的查詢。更新CMS通常會阻止這種攻擊,但是,如果您使用任何自定義的Web應用程序或插件,則需要了解每個當前的安全隐患。
始終創建備份!
查看如何定義您的權限
仔細管理網站的文件和文件夾權限對您的網站安全至關重要。每當您需要更新網站上的内容時,您的Web服務器都會驗證嘗試進行更改的用戶的訪問權限。如果該用戶具有訪問權限和相關權限,則可以進行更改。這就是我(wǒ)們前面提到的用戶設置如此重要的原因。運行用戶權限審核時,您可以簽出文件訪問權限,用戶訪問權限等。
要注意的主要權限設置爲:
用戶權限:在CMS中(zhōng)設置的每個用戶都需要具有爲其分(fēn)配的特定屬性和權限。在信息安全領域,有一(yī)種稱爲“最小(xiǎo)特權”的原則,它對于這類設置特别有用。
标準用戶隻能訪問能夠增強其在您的網站上的體驗的内容,這很有意義,因爲該網站适合他們。隻有授權用戶才有權更改任何内容。
所有者,組或公共:管理用戶意味着您需要對它們進行分(fēn)類并将其放(fàng)入适當的組中(zhōng)。每個組提供不同的訪問級别。所有者具有對網站内容的讀寫權限,這意味着他們可以随意創建和删除文件。公共訪問通常被鎖定,并且僅允許讀取訪問。
讀取,寫入或執行:這些是文件權限,它們确定是否可以打開,讀取或更改文件。如果用戶具有執行權限,則他們能夠安裝應用程序和插件。标準用戶不應具有此訪問級别。