新睿云

> 知识库 > 您网站正在面临安全性的威胁,7大技巧让您网站安全性提高数倍!

您网站正在面临安全性的威胁,7大技巧让您网站安全性提高数倍!

作者/来源:新睿云小编 发布时间:2019-10-15

由于Web开发领域中强大的工具和服务的发展,拥有一个网站变得比以往任何时候都容易。诸如WordPress,Joomla,Drupal,Magento之类的内容管理系统(CMS)使企业所有者可以快速建立网站。CMS的高度可扩展的体系结构,丰富的插件和有效的模块,减少了在开始构建网站之前花费大量时间和成本。网站安全性检测工具《运维绝密:网站安全性测试工具,一般人都不告诉他!

网站安全技巧1

1.千万要注重CMS官方的更新与补丁

一旦有新的插件或CMS版本可用,更新您的站点安全性就变得非常重要。这些更新可能仅包含安全性增强功能或修补了漏洞。

大多数网站攻击是自动进行的。僵尸程序会不断地扫描每个站点以寻找任何利用机会。它不再足以每月扫描一次,甚至每周扫描一次,因为僵尸程序很可能会在修补漏洞之前发现漏洞。

因此,笔者建议使用网站防火墙,该防火墙会在发布更新后立即修补安全漏洞。

如果您拥有WordPress网站,我个人推荐插件“WP Updates Notifier”。当有插件或WordPress核心更新可用时,它将通过电子邮件通知您。

2.不要使用统计密码

建立一个安全的网站在很大程度上取决于您的安全状况。您是否想到过使用的密码如何威胁您的网站安全?

我们经常需要使用其管理员用户详细信息登录到客户端的站点或服务器。见到过许多受到攻击的网站竟然使用root、admin之类的登录名,真跟没有任何密码放在那里有什么区别?

在线上有许多违反密码的列表。黑客会将它们与字典单词列表结合使用,以生成更大的潜在密码列表。如果您使用的密码在这些列表之一中,那么您的网站受到威胁只是时间问题。

笔者为您提供强密码设置建议是:

不要重复使用密码:您拥有的每个密码都应该唯一,密码管理器可以使此操作更容易。

密码长:请尝试超过12个字符的密码,密码越长破解计算机程序所需的时间就越长。

使用随机密码:如果密码破解程序包含在线或词典中发现的单词,它们可以在几分钟内猜出数百万个密码。如果您的密码中包含真实单词,则不是随机的。如果您能轻松地说出密码,则表示密码强度不够。即使使用字符替换(即用数字0替换字母O)还是不够的。

有一些有用的密码管理器,例如“LastPass”和“KeePass 2”。

这些出色的工具以加密格式存储您的所有密码,单击按钮即可轻松生成随机密码。密码管理器可以省去记住较弱的密码或将其记下来的工作,从而可以使用强密码。

网站安全技巧2

3.更改默认CMS设置!

从安全角度来看,对于最终用户而言,默认CMS应用程序(尽管易于使用)改了应用起来可能会很棘手。到目前为止,针对网站的最常见攻击是完全自动化的。这些攻击中的许多攻击都依靠用户仅具有默认设置。

这意味着,只需在安装所选的CMS时更改默认设置即可避免大量攻击。

例如,某些CMS应用程序可由用户编写,允许用户安装所需的任何扩展。

您可能需要调整一些设置,以控制评论,用户和用户信息的可见性。文件权限是可以加强网站安全性的。

您可以在安装CMS或更高版本时更改这些默认详细信息,千万不要忘记这样做。

4.服务器配置文件

了解您网站服务器的配置文件:

Apache Web服务器使用.htaccess文件,

Nginx服务器使用nginx.conf,

Microsoft IIS服务器使用web.config。

服务器配置文件最常在根Web目录中找到,功能非常强大。它们允许您执行服务器规则,包括可提高网站安全性的指令。

以下是我笔者研究并为您的特定的网站服务器添加的一些规则:

防止目录浏览:防止恶意用户查看网站上每个目录的内容。限制攻击者可用的信息始终是有用的安全预防措施。

防止图像热链接:虽然这并不是严格的安全性改进,但确实可以防止其他网站显示您的Web服务器上托管的图像。如果人们开始从服务器上热链接图像,则托管计划的带宽余量可能很快就被显示在别人站点上的图像所占用。

保护敏感文件:您可以设置规则来保护某些文件和文件夹。CMS配置文件是Web服务器上存储的最敏感的文件之一,因为它们以纯文本格式包含数据库登录详细信息。可以锁定其他位置,例如管理区域。您还可以在包含图像或允许上传的目录中限制PHP执行。

5.安装SSL

SSL是安全套接字层的缩写。它是用于在Web服务器和浏览器之间建立加密链接的标准安全技术。

我不愿意将SSL作为提高您网站安全性的提示,因为有很多误导性信息表明安装SSL将解决您的所有安全问题。

6.文件权限

文件权限定义了谁可以对文件执行操作。

每个文件具有3个可用权限,每个权限由一个数字表示:

'读'(4):查看文件内容。

'写'(2):更改文件内容。

'执行'(1):运行程序文件或脚本。

如果要允许多个权限,只需将数字加在一起即可,例如,要允许读(4)和写(2),请将用户权限设置为6。如果要允许用户读(4),请写(2)并执行(1),然后将用户权限设置为7。

还有3种用户类型:

所有者–通常是文件的创建者,但是可以更改。所有者只能是一个用户。

组–每个文件都被分配了一个组,该组中的任何用户都将获得这些权限。

公开–其他所有人。

7.备份

老生常谈的问题,如果网站遭到攻击了,备份自然会有奇效。及时恢复网站内容,则可以最大限度的止损。

热门标签
new year
  在线咨询
资讯热线
400-0505-565
投诉与建议
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待