据谷歌称,2017 年网站黑客行为正在增加。被黑客入侵的网站对网站管理员和访问者都是严重威胁,因为黑客可以破坏您的网站,从您的网站窃取用户数据、信用卡详细信息,使用您的服务器提供非法文件或向您的网站插入恶意软件和有害代码。作为网站管理员,您有法律义务保护用户数据免遭盗窃并报告发生的安全漏洞。始终最好采取预防措施并保护您的网站,而不是处理后果。以下是有关如何保护您的网站并防止其被黑客入侵的 8 条提示。
1.使用强密码并定期更改
每天在网络上检测到数以千计的暴力攻击。攻击主要通过猜测用户名/密码组合来进行。使用强密码可以有效消除暴力破解和字典攻击。强密码的长度应至少为 12 个字符,由大小写字母、数字和特殊字符组合而成。不要使用字典单词。密码越长,网站的安全性就越强。避免为所有网站登录使用相同的密码,并定期更改密码以确保安全性。始终以加密形式存储用户数据。
2. 安装 SSL 证书
对于任何处理个人信息的网站,SSL 证书几乎都是强制性的。这是提高网站安全性的一种相对便宜且简单的方法。通过为您的网站安装 SSL 证书,所有个人信息在您的网站和访问者的计算机之间传输时都会被加密。任何试图窃听加密连接的黑客只会看到对他们毫无用处的乱码。它还有助于建立对访问者的信任并促进网站 SEO。
3.定期更新软件
黑客可以每小时扫描数以千计的网站,寻找可以让他们入侵的漏洞。像 Joomla 和 WordPress 这样的 CMS 提供商会时刻保持警惕,不断寻找漏洞以插入他们的系统,并定期发布补丁和更新,以确保他们的软件不受攻击。确保您运行这些更新并始终拥有支持您网站的最新版本。如果您的网站使用第三方插件,请定期清理并清除所有未使用的插件,以尽量减少成为黑客利用您网站的门户的威胁。
4.隐藏管理页面
黑客可以通过进入您网站的管理员级别来访问您网站的数据。他们可能会在您的 Web 服务器上查找诸如“管理员”、“登录”或“访问”之类的名称,然后将所有精力集中在访问这些文件上以危及您的网站安全。要对黑客隐藏管理页面,您应该使用 robots_txt 文件来防止黑客在搜索引擎上找到它们。将您的管理文件夹重命名为不显眼的内容,并仅与您的网站管理员交流。限制一定时间内的登录尝试次数。切勿通过电子邮件发送登录详细信息,因为电子邮件帐户也可能被黑客入侵。
5.限制文件上传
允许访问者将文件上传到您的网站可能会带来巨大的安全风险。黑客可以上传包含恶意代码的文件来破坏您的网站。如果文件上传不可避免,最好的解决方案是防止直接访问所有上传的文件。将文件存储在根目录之外,以便无法直接访问或执行文件。使用脚本从数据库或私人文件夹中获取它们,然后在必要时将它们呈现到您的网页上。
6.表单数据的双重验证
应在浏览器和服务器端检查任何表单的输入。两级验证过程将有助于阻止通过数据接受表单字段插入恶意脚本。Web 浏览器可以识别简单的错误,例如遗漏必填字段或在只需要数字的字段中输入单词。服务器端验证可以检测潜在的恶意攻击,例如攻击者试图输入代码以利用漏洞的位置。
7. 防止跨站脚本(XSS)攻击
当黑客试图使用表单提交 Javascript 或其他代码以对您网站上的访问者执行恶意代码时,就会发生 XSS 攻击。为确保网站安全,您应该对提交的所有 HTML 进行编码和删除。否则,黑客可以在访问您的网站时窃取您的访问者的凭据和登录 cookie 详细信息。
8. 经常备份
保持一切备份,以防最坏的情况发生。请联系您的网络托管服务提供商,了解它是否为网站管理员提供备份解决方案。您还可以在您的网站上安装备份插件。一些备份插件允许您安排自动备份,以及将文件发送到 云存储等服务。为了安全起见,不时在其他备份技术之上保存您的计算机上的文件副本。