在打开新网站的过程中容易出错。开办一家小商店,一个投资组合或博客很有趣-但是处理安全漏洞和黑客攻击要少得多。设置新网站时,确保它的安全性很重要。
幸运的是,您应该做的大多数事情都非常简单。有些会花费一些时间,但这是值得的投资。不要让您的网站受到保护!为了保护它的安全,您可以执行以下10件事。
1。选择一个安全域注册商
注册域时,您要确保没有人可以控制该域。如果恶意者能够登录到您的域名注册商,则他们可以将其转移给自己或造成更大的破坏。
对于使用两个因素认证(2FA)的域名注册商,有一些选择。这增加了进一步的安全级别,并使其他人更难以访问。即使有人设法获得了密码,他们也可能无法访问您的手机。
以下是提供2FA的一些注册服务商:
2。从WHOIS隐藏您的信息
每个网站上都有一个WHOIS条目,如果您不采取措施确保您的信息受到保护,垃圾邮件公司将很容易找到您的姓名和电子邮件地址。您的姓名和电子邮件地址都是盗窃身份所必需的,因此,将其保密也可以帮助保护您在这一方面的生活。
大多数网络托管服务商都提供少量的匿名WHOIS注册,但有一个免费提供它的很少。 Dreamhost和1and1都允许您免费打开包含匿名WHOIS信息的网站。
无论您决定付款还是不付款,请尽力保留姓名和电子邮件(甚至只是您的电子邮件)电子邮件地址)。
3。这样做可以节省您处理大量垃圾邮件的时间,并使某人更难以掌握您的信息。 3。更改密码
希望不用多说,但请立即更改密码。如果您的域,主机,CMS或其他任何内容都带有标准管理员密码,请进行更改。如果这是默认设置,您甚至应该将用户名从“ admin"更改为其他名称。
定期更改密码也不错。使用密码管理器来跟踪它们,并确保它们安全。
4。更新您的网站软件
确保注册成功后,就该保护网站本身了。而且,第一步(就像保护其他任何事物的第一步一样)是使所有内容保持最新。
随着公司发现其安全漏洞,他们会发布补丁程序和更新。如果您不更新软件,那么您将容易受到攻击。大多数主机使此操作非常容易,并且经常会提醒您在有新版本可用时进行更新。即使这样,还是要定期检查您的版本信息。
5。使用安全性插件
如果您使用的是内容管理系统(CMS),Drupal,Joomla和Magento都有很多。您需要做的就是选择最适合您的情况,然后下载,安装和激活。
每个CMS和安全扩展都会为您提供确切使用情况的不同建议。征询有关安全性插件的第三方评论也是一个好主意。但是,如果该插件是由信誉良好的供应商生产的,它将有助于确保您网站的安全。使用更高安全性的设置可以消除更多漏洞,并使扩展程序也保持最新。
6。启用HTTPS
您应该考虑的不仅仅是您自己的安全性。您的访问者和Google都会感谢您对网站上的所有流量进行加密。尤其是在您的访客将共享任何敏感信息的情况下。
某些托管服务会自动为您激活HTTPS,而其他托管服务只需单击一两下就可以实现。如果您是自托管服务器或只是在租用服务器空间,则可能需要用困难的方式做到这一点。这涉及购买SSL证书,激活它,以及将您的站点配置为使用HTTPS。
这并不是特别复杂,但是托管服务的过程可能有所不同,因此请与他们联系以找到最佳的方法来
7。检查权限
您网站的各种用户将具有不同的权限级别。作为管理员,您将有权更改所需的任何内容-其他人应受到更多限制。 CMS通常使您可以更改访问者,登录的访问者,编辑者,贡献者和许多其他用户组的权限。
请考虑每个组应具有的访问权限。您的编辑者需要创建新用户吗?您的读者应该能够编辑页面吗?给每个人尽可能少的权限,让他们完成工作。
如果您想真正掌握技术,可以使用FTP客户端查看站点上的所有文件,并在以下位置查看他们的权限:符号或数字符号。然后,您可以使用命令终端更改权限。 (如果您不知道我在说什么,请小心!)
8。隐藏您的管理页面
用于登录和管理网站的页面对搜索引擎应该是不可见的。这似乎不太像一种安全措施,但是对于有恶意的人来说,找到这些页面变得更加困难。而且由于通常很容易做到,因此值得花几分钟的时间。
某些CMS和安全性插件可让您从搜索引擎中隐藏这些页面。如果您不提供此功能,则可以通过编辑robots.txt文件来手动完成此操作,该文件可以从CMS设置或cPanel管理员部分访问。将以下内容添加到文件中:
User-agent: *Disallow: [the relative URL of the page]
在WordPress中,您将使用“ / wp-admin /"作为URL。其他CMS将具有不同的URL。您也可以禁止用户不需要查看的任何其他页面。
9,这不仅对安全性有好处,而且对您的SEO也有帮助!防范跨站点脚本攻击
XSS是一种黑客手段,它涉及通过环回方法在您的网站上运行代码。例如,它可能以联系方式发生。通过在联系表单中包含脚本,黑客可以使您的网站执行该代码,从而使他们可以访问或造成破坏。
针对这种类型的攻击进行防护实际上是相当复杂的。如果您想了解可以使用的方法,请查看OWASP的这份出色的反XSS备忘单。如果您不太喜欢技术,可以使用许多反XSS插件。某些标准的安全性插件可能涵盖了此漏洞,但不要以为是这种情况。确保您受到保护。
10。防止信息泄漏
虽然XSS,SQL注入,密码破解和其他黑客攻击方法似乎是最危险的,但往往是最简单的问题。信息泄漏就是其中之一。
当您不小心泄露了您不希望(或不知道)的信息时,即为信息泄漏。对于开发人员来说,很容易意外地在您的网站代码中留下包含敏感信息的HTML注释。
如果您使用的是标准CMS实施,则不会有太大问题。但是,如果您让某人为您设计了自定义主题,或者在网站上进行了广泛的开发工作,则应检查信息是否泄漏。最好的方法之一是简单地在浏览器中使用查看源文件选项,然后快速扫描未删除的HTML注释。
由数百或数千个网站组成的大型网站页面可能需要专门的安全专家(或至少是实习生)来完成此过程。无论哪种方式,这都是很容易检查的事情,所以不要跳过它。
立即保护您的网站!
建立新网站时,有很多事情要做你必须做。您很容易忘记这些基本的安全措施。但是从长远来看,它们可以为您节省很多麻烦(并可能节省很多钱)。所以不要跳过他们!在开始处理内容之前,请确保您的网站安全。
标签: