“
每个网站所有者都应该了解某些事情,其中非常重要的一点是如何确保您的网站安全(或者至少尽可能安全)。
使用公钥加密技术发挥您的优势
在您的网站上使用有效的SSL/TLS证书:
·是使用公钥加密保护传输中数据安全的行业最佳实践。
·提高您网站的Google搜索引擎排名。
·帮助遵守行业数据安全和隐私法律法规。
·通过数字信任支持您的品牌声誉和在客户中的地位。
当数据以明文形式传输时,很容易受到中间人 (MitM) 攻击。这意味着黑客可以查看并窃取敏感数据(信用卡、银行帐户信息、用户名和密码等),并用于实施犯罪。他们还可以注入恶意内容并造成许多其他问题。
如何确保网站安全的列表中的下一项与第一项密切相关。
如果您的网站或Web应用程序上的SSL/TLS证书已过期、已撤销或无效,则意味着您的网站、应用程序和客户将遇到停机或服务中断。
例如,如果您的网站使用无效的SSL/TLS证书,您的客户可能会看到以下类型的消息:
如果您的网站使用过期的网站安全证书,情况可能如下(在Google Chrome中):
使用自动化来简化您的证书管理任务
如果您想让自己更轻松地完成这些任务,请考虑使用证书管理自动化工具。这些工具旨在让您能够全面了解网络以及遍布其中的加密资产,从而使证书管理变得更加轻松。
理想情况下,您应该使用日常网站扫描程序来识别漏洞和其他必须解决的问题。使用网站监测工具可以帮助您查找和识别网站上可能存在的问题。
SiteLock是一款监控工具,可通过自动扫描、检测和阻止网络威胁来增强网站的安全性。
Web应用程序防火墙通常被认为是行业首选,可帮助组织保护其Web应用程序免受恶意行为者和网络攻击。
它的工作是帮助您过滤和监控HTTP/HTTPS流量,以识别进出您的网站/Web 应用程序的任何异常活动。
WAF可以帮助您识别流量激增和下降,观察流量来自哪里,以及帮助您阻止不良机器人流量。
这对于帮助您识别和缓解DDoS攻击非常有用。
但不要认为仅使用WAF就足够了;使用此工具应该是更大的网络安全策略的一部分。
不确定您的网站或网络应用程序是否需要 WAF?问自己几个简单的问题:
您是否通过网络应用程序收集客户的个人数据?
您的组织从事电子商务活动吗?
您想要更清楚地了解您的流量吗?
您希望能够帮助识别和阻止DDoS攻击吗?
如果这些问题中任何一个的答案是“是”,那么您应该使用Web应用程序防火墙。
网站和网络应用程序监控对于每个网站的安全都至关重要。
同样,网站日志提供与访问请求、更改、错误以及安全事件和事件相关的大量信息。但现实情况是,它们会生成大量数据,几乎不可能手动完成。
正如您可以想象的那样,这些工具会产生大量的“噪音”。值得庆幸的是,有一些自动日志分析工具可以帮助您收集和理解所有类型的数据。
无论您使用哪种主机管理软件(例如,用于共享主机的cPanel、Plesk、DirectAdmin),请确保您的服务器运行最新版本。如果不是,那么您需要升级到最新版本的界面。
应用系统补丁和更新使软件开发人员能够修复现在和/或将来可能给您带来问题的任何漏洞或问题。因此,与任何软件一样,请确保您的软件版本尽可能保持最新。
好的,我们已经完成了回答以下问题的方法列表的一半:“如何确保我的网站安全?”现在,请跟着我重复一遍:并非每个想要访问的人都需要访问。
仅仅因为员工想要对您的网站、数据库或其他相关资源进行管理员访问,就应该拥有它。只能在最低级别授予访问权限。这就是最小特权原则(PoLP,或也称为最小特权模型)背后的想法。
例如,对网站管理仪表板的访问权限应仅限于那些在其角色中需要它的个人。应根据各个员工的工作职责和他们期望完成的任务来授予访问权限。就是这样。只需给予他们完成工作所需的绝对最低权限即可。
这意味着,负责撰写和发布博客文章的营销专家可能不需要与需要处理网站根目录的网络开发人员相同级别的访问权限。同样的想法也适用于访问您的服务器和其他敏感资源。请务必小心确保仅将管理员权限分配给角色需要这些权限的人员。
虽然这看起来很简单,但实践强大的密码安全性是您可以让员工了解的最重要的一点之一。这是因为您员工的帐户(以及他们接触的所有内容)的安全性取决于他们用于访问帐户的凭据。
如果他们的密码是从其他帐户回收的,或者如果它们是几乎可以在任何违规列表中找到的通用密码,那么就您网站的安全而言,它们毫无用处。
设置密码要求并根据泄露/被破坏的密码和常用密码的已知数据库检查输入至关重要。
这样,如果您的销售团队中的Sam尝试将其密码更改为已被识别为已泄露的密码,您可以这样做,以便他必须将其输入更改为其他密码。
对于了解如何保护网站来说这是一个大问题。如果您不希望人们试图强行进入,防止他们这样做的一个很好的安全措施是设置帐户锁定阈值。例如,您可以将其设置为任何用户尝试输入密码的次数不得超过三次。之后,该账户将被锁定指定时间(10分钟、3小时、24小时等)。
这种方法有助于防止攻击者使用猜测的用户名——密码组合释放脚本,以暴力方式进入您的网站。出于同样的原因,这也有利于撞库和其他类似的攻击。
允许列表(以前称为白名单)和阻止列表(以前称为黑名单)是网站管理员可以精细控制对其数字资产的访问的工具。它们可用于多种场景,包括网站白名单和电子邮件帐户。
对于网站,白名单通常依赖于用户的IP地址。例如,您可以使用白名单将网站特定部分(例如登录页面)的访问权限限制为仅允许一个或多个指定用户通过将其IP地址包含在白名单中。
同样,您可以使用阻止列表来阻止特定用户访问您网站的部分内容。
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、DIY体验、720全景展厅及3D虚拟仿真)、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)、微信小程序定制开发等一系列互联网应用服务。
责任编辑:优网科技
版权所有:http://www.uweb.net.cn (优网科技) 转载请注明出处