广州总部电话:020-85564311
广州总部电话:020-85564311

广州网站建设-小程序商城开发-广州小程序开发-企业微信开发公司-网站建设高端品牌-优网科技

19年
互联网应用服务商
请输入搜索关键词
PKI课堂|如何确保我的网站安全?——17种方法在这里
发布日期:2024-10-15 17:08:30
浏览次数:776
来源:公钥密码开放社区

每个网站所有者都应该了解某些事情,其中非常重要的一点是如何确保您的网站安全(或者至少尽可能安全)

让我们直接回答您想知道的问题:“如何确保我的网站安全?”


使用公钥加密技术发挥您的优势


1

安装可保护您的主域(和任何子域)

的SSL/TLS证书


在您的网站上使用有效的SSL/TLS证书:


·是使用公钥加密保护传输中数据安全的行业最佳实践。

·提高您网站的Google搜索引擎排名。

·帮助遵守行业数据安全和隐私法律法规。

·通过数字信任支持您的品牌声誉和在客户中的地位。


当数据以明文形式传输时,很容易受到中间人 (MitM) 攻击。这意味着黑客可以查看并窃取敏感数据(信用卡、银行帐户信息、用户名和密码等),并用于实施犯罪。他们还可以注入恶意内容并造成许多其他问题。


如何确保网站安全的列表中的下一项与第一项密切相关。  


2

使用自动化管理您的PKI数字资产

以避免服务中断


如果您的网站或Web应用程序上的SSL/TLS证书已过期、已撤销或无效,则意味着您的网站、应用程序和客户将遇到停机或服务中断。


例如,如果您的网站使用无效的SSL/TLS证书,您的客户可能会看到以下类型的消息:



如果您的网站使用过期的网站安全证书,情况可能如下(在Google Chrome中):



使用自动化来简化您的证书管理任务


如果您想让自己更轻松地完成这些任务,请考虑使用证书管理自动化工具。这些工具旨在让您能够全面了解网络以及遍布其中的加密资产,从而使证书管理变得更加轻松。



3

使用值得信赖的安全检测工具

定期检测您的网站


理想情况下,您应该使用日常网站扫描程序来识别漏洞和其他必须解决的问题。使用网站监测工具可以帮助您查找和识别网站上可能存在的问题。


SiteLock是一款监控工具,可通过自动扫描、检测和阻止网络威胁来增强网站的安全性。



此外,MySSL.com是亚洲诚信TrustAsia推出的一款免费应用于HTTPS最佳实践的SSL安全评估和在线证书检测工具集,其广泛应用于HTTPS网址,能为网站实时提供HTTPS监测和保护。

访问网址https://myssl.com查看详细站点报告


4

使用Web应用程序

防火墙(WAF)


Web应用程序防火墙通常被认为是行业首选,可帮助组织保护其Web应用程序免受恶意行为者和网络攻击。


它的工作是帮助您过滤和监控HTTP/HTTPS流量,以识别进出您的网站/Web 应用程序的任何异常活动。


WAF可以帮助您识别流量激增和下降,观察流量来自哪里,以及帮助您阻止不良机器人流量。


这对于帮助您识别和缓解DDoS攻击非常有用。


但不要认为仅使用WAF就足够了;使用此工具应该是更大的网络安全策略的一部分。


不确定您的网站或网络应用程序是否需要 WAF?问自己几个简单的问题:


您是否通过网络应用程序收集客户的个人数据?

您的组织从事电子商务活动吗?

您想要更清楚地了解您的流量吗?

您希望能够帮助识别和阻止DDoS攻击吗?


如果这些问题中任何一个的答案是“是”,那么您应该使用Web应用程序防火墙。


5

监控您的网站日志

(自动化工具可以提供帮助)


网站和网络应用程序监控对于每个网站的安全都至关重要。


同样,网站日志提供与访问请求、更改、错误以及安全事件和事件相关的大量信息。但现实情况是,它们会生成大量数据,几乎不可能手动完成。 


正如您可以想象的那样,这些工具会产生大量的“噪音”。值得庆幸的是,有一些自动日志分析工具可以帮助您收集和理解所有类型的数据。


维护最新的网站安全工具/插件

(主要针对WordPress网站管理员)


您的网站使用WordPress吗?如果苕,以下部分的讨论要点将主要适用于您。


6

确保您使用的是

主机客户端的最新软件版本


无论您使用哪种主机管理软件(例如,用于共享主机的cPanel、Plesk、DirectAdmin),请确保您的服务器运行最新版本。如果不是,那么您需要升级到最新版本的界面。


应用系统补丁和更新使软件开发人员能够修复现在和/或将来可能给您带来问题的任何漏洞或问题。因此,与任何软件一样,请确保您的软件版本尽可能保持最新。


例如,如果您是cPanel用户,登录后,您可以通过向下滚动到仪表板底部来了解您正在使用的软件版本:



7

安装来自受信任的

开发者和发行商的插件


如果您是WordPress网站管理员,您可能非常熟悉WordPress插件、主题和其他附加组件。插件可以满足并简化各种需求和任务,提供灵活性和定制机会。


然而,缺点是,如果开发人员没有仔细管理和更新这些工具,安装这些工具可能会增加攻击面。使用保护不力和过时的网站插件会在网站的防御中产生原本可能不存在的漏洞。


正是由于这些原因(以及其他原因),如果您决定使用第三方插件和主题,您应该只选择来自定期更新其产品的信誉良好的开发人员/发行商的插件和主题。在决定使用哪个插件之前,请务必阅读评论并通过其他来源进行研究。


8

使所有主题和

插件保持最新


WPScan报告称,其数据库中94%的漏洞都是插件。据了解,跨站点脚本 (XSS) 攻击者会使用易受攻击的插件将恶意代码注入WordPress网站。根据严重程度,这种类型的攻击可以使坏人完全接管您的网站。 


由于这些原因,您必须保持主题和插件最新。这样做既是行业最佳实践,也是防止威胁行为者利用您网站上的漏洞的方法。


这在WordPress中非常简单。在 WordPress 仪表板的左侧导航栏中,单击“插件”,它将显示一个页面,其中列出了所有已安装的插件(包括活动的和停用的)。在这里,您可以手动更新、激活和停用插件,或启用自动更新。 


注意:如果插件存在漏洞但尚未更新,您将不会在此处看到它。这也是定期(每日)进行漏洞扫描至关重要的另一个原因。



对于主题,只需查看左侧导航栏中的“更新”选项并向下滚动即可。如果任何主题需要更新,它会告诉您,并且只需单击两次即可选择更新它们。


安全访问您的管理仪表板

和其他敏感资源


9

严格控制分配的

管理权限和访问权限


好的,我们已经完成了回答以下问题的方法列表的一半:“如何确保我的网站安全?”现在,请跟着我重复一遍:并非每个想要访问的人都需要访问。


仅仅因为员工想要对您的网站、数据库或其他相关资源进行管理员访问,就应该拥有它。只能在最低级别授予访问权限。这就是最小特权原则(PoLP,或也称为最小特权模型)背后的想法。


例如,对网站管理仪表板的访问权限应仅限于那些在其角色中需要它的个人。应根据各个员工的工作职责和他们期望完成的任务来授予访问权限。就是这样。只需给予他们完成工作所需的绝对最低权限即可。


这意味着,负责撰写和发布博客文章的营销专家可能不需要与需要处理网站根目录的网络开发人员相同级别的访问权限。同样的想法也适用于访问您的服务器和其他敏感资源。请务必小心确保仅将管理员权限分配给角色需要这些权限的人员。


下面是一个简单示例,展示了在WordPress博客中按角色为用户分配访问权限时的情况:



10

要求使用安全、唯一

的密码(和密码管理器)


虽然这看起来很简单,但实践强大的密码安全性是您可以让员工了解的最重要的一点之一。这是因为您员工的帐户(以及他们接触的所有内容)的安全性取决于他们用于访问帐户的凭据。


如果他们的密码是从其他帐户回收的,或者如果它们是几乎可以在任何违规列表中找到的通用密码,那么就您网站的安全而言,它们毫无用处。


我们看到了一个反例,基因检测公司23andMe 在数据泄露后指责客户,称他们正在重复使用在其他第三方数据泄露中受到损害的登录凭据。


设置密码要求并根据泄露/被破坏的密码和常用密码的已知数据库检查输入至关重要。


这样,如果您的销售团队中的Sam尝试将其密码更改为已被识别为已泄露的密码,您可以这样做,以便他必须将其输入更改为其他密码。 

(注意:不要告诉用户该密码已被使用,这会泄露太多信息。相反,应告知用户他们的密码选择无效,并让他们重新输入新密码。)


此外,花时间向用户介绍所有帐户的密码安全最佳实践,包括其网站登录凭据。本主题应包括有关安全存储密码的对话(即,将它们保存在密码管理工具中,而不是将它们存储在便利贴上)。


11

实施零信任

流程和程序


零信任背后的想法是,你永远不会自动信任任何东西或任何人,并且必须始终验证一切。(这一切都与持续身份验证有关。)


实际上,每个公司都应该以这种方法为目标,以保护其网络和整体IT基础设施的安全。但这如何应用于您的网站呢?


当涉及到保护对网站的管理访问时,请依靠数字身份验证和身份验证方法,而不仅仅是传统的用户名密码组合。那么,当您尝试以管理员身份登录您的网站时,有哪些方法可以帮助您验证某人的数字身份呢?


实施人工验证安全措施(MFA、CAPTCHA等)


消除不良机器人流量和暴力攻击者的第一步是实施多重身份验证 (MFA)、验证码/reCAPTCHA或等效替代方案,例如Cloudflare Turnstile。


让我们快速回顾一下这些工具的用途:

多重身份验证——这些工具要求用户通过更复杂的方法证明其身份,从而为身份验证过程增加了另一层安全性。例如,您必须知道密码并拥有一部能够接收来自身份验证应用程序(例如Google Authenticator或Okta)的推送通知的手机。

CAPTCHA或reCAPTCHA——这些自动化安全机制要求您做一些事情来证明您是真人而不是机器人才能进行身份验证。例如,您可能必须挑选图片、单击机器人、回答数学问题、解决难题或以其他方式参与。


Cloudflare Turnstile——这种验证码技术的替代方案运行 JavaScript 挑战,检测人类行为并在后台涉及密钥和令牌。这种机制不需要用户解决任何谜题或以类似的方式参与。


当您在WordPress上启用Cloudflare Turnstile或数学验证码并且有人尝试使用错误的密码登录时,情况如下:



要求管理员使用安全连接


作为一个组织,您可以做的事情之一就是建立公司内部政策,涵盖每个员工都应遵守的既定行为和标准。


例如,当员工登录其工作设备时,您可以设置一个确认屏幕,传达他们必须确认才能访问设备的设定行为和标准。


在您记录的程序中,请务必指定在访问安全数字资产和系统(包括您网站的管理仪表板)时,授权用户必须始终使用安全的加密连接。以下是实现此目的的两种方法:


要求办公室员工通过公司的安全以太网进行连接,或者要求远程工作的用户使用基于 PKI客户端身份验证证书的安全 VPN 连接。


12

限制

无效登录尝试


对于了解如何保护网站来说这是一个大问题。如果您不希望人们试图强行进入,防止他们这样做的一个很好的安全措施是设置帐户锁定阈值。例如,您可以将其设置为任何用户尝试输入密码的次数不得超过三次。之后,该账户将被锁定指定时间(10分钟、3小时、24小时等)。



这种方法有助于防止攻击者使用猜测的用户名——密码组合释放脚本,以暴力方式进入您的网站。出于同样的原因,这也有利于撞库和其他类似的攻击。


13

使用允许列表和阻止列表

来限制对管理控件的访问


允许列表(以前称为白名单)和阻止列表(以前称为黑名单)是网站管理员可以精细控制对其数字资产的访问的工具。它们可用于多种场景,包括网站白名单和电子邮件帐户。


对于网站,白名单通常依赖于用户的IP地址。例如,您可以使用白名单将网站特定部分(例如登录页面)的访问权限限制为仅允许一个或多个指定用户通过将其IP地址包含在白名单中。


同样,您可以使用阻止列表来阻止特定用户访问您网站的部分内容。


想象一下这样一个场景:您在一个受限制的封闭社区购买了一套漂亮的房子。


如果您希望只有某些人可以进入房屋,您可以向社区的安全团队提供允许进入的授权用户列表(白名单)。


如果您不想让某人进入您的新住所,您可以向门口的警卫提供该人的信息。该人将被禁止访问该财产(黑名单)。


使用允许列表时,您可以将默认访问设置设置为拒绝,从而排除未明确注明IP地址的任何人。但是如何使用它来仅允许来自指定IP地址的连接呢?


14

使用加盐来提高

存储的密码哈希值的安全性


如果您的网站允许用户通过创建用户名和密码登录,那么本部分适合您。密码加盐是数据库安全中的一种重要做法,用于保护存储的密码相关详细信息。


您永远不想在数据库中存储明文密码,因为它们很容易通过哈希表和彩虹表攻击而受到损害。相反,您应该存储的是加盐密码哈希值。


此过程涉及获取输入(即明文密码)并在应用加密哈希函数之前向其添加盐(随机的、唯一的数据字符串)。这会生成一个唯一的密码哈希值,您可以使用它来代替明文密码。


让我们想象一下使用密码Password123和盐值+Oa8kFpYobjX: 


即使两个用户使用相同的密码,当在应用哈希函数之前向其添加唯一的盐值时,每个用户的密码得到的哈希值将完全不同。

  

实施数据库强化技术


15

对数据库的

安全访问(物理和远程)


您的网站和数据库是独立的,但相互关联的数字资产必须受到保护。网站使用数据库作为各种内容(例如网站副本、图形、视频媒体等)的后端存储和管理系统。他们依靠数据库来存储可以检索并显示给用户的数据,而无需将所有内容直接硬编码在网站上。 


强大的数据库安全性允许对数据进行授权访问,同时仍然保持数据库本身的机密性、完整性和可用性 (CIA)。


您可以使用物理安全措施——锁定数据库服务器、使用ID卡实施安全访问、安装摄像头等。但是,如果您的数据库不在本地,该怎么办?然后,至少使用单独的数据库供内部和外部使用。


要求授权用户通过VPN使用基于客户端身份验证的安全连接来连接到您的数据库。请记住:仅向角色需要访问权限的人员授予访问权限! 


16

保护您的Web应用程序

和表单免受常见数据库攻击


还记得我们提到过黑客总是寻找最简单的切入点吗?其中一种方法是在您网站的Web应用程序中搜索他们可以利用的SQL注入缺陷。使数据库更安全地抵御SQL攻击技术的一些方法包括:


使用参数化数据库查询

清理网络应用程序输入

保持后端组件(库、框架、数据库软件等)最新


17

使用自定义端口帮助

减少日志混乱并限制自动攻击


网络犯罪分子喜欢瞄准“容易实现的目标”,即网络安全机制过时、蹩脚或不存在的网站和数据库,这已不是什么秘密。为什么?因为它们很容易挑选。这就相当于鲨鱼瞄准了一只受伤的海豹,而不是一只可以反击的健康、身体健全的海豹。


使用默认端口号是坏人容易利用的机会之一。端口允许信息在网站和连接到该网站的浏览器之间流动。例如,安全外壳 (SSH) 协议常用的端口是端口 22。例如,IONOS建议将其更改为“1024 到 65536”范围之间的端口。根据IANA TCP和UDP端口号分配指南,“众所周知的端口由IANA 分配,范围为0-1023”,因此最好避免将它们用于部署或产品发布。



简而言之,从默认端口号更改为自定义端口号是一种通过模糊性创建安全层的方法。


然而,值得注意的是,端口扫描本身在技术上并不是一种威胁。这是一种侦察方法,可为攻击者提供可用来对付您的信息。


要确定要使用的端口号,请查看互联网号码分配机构 (IANA) 的服务名称和传输协议端口号注册表,了解哪些号码不用于其他服务。


关于如何确保

网站安全的最终要点


虽然口碑仍然发挥着至关重要的作用,但您的网站通常为客户提供了您公司的第一印象。


这就是为什么拥有一个信息丰富、有用、性能良好且安全的网站很重要。没有人喜欢收到他们所使用的网站或服务已被泄露的公司的通知。如果您现在就采取措施使您的网站、网络应用程序和其他数字资产尽可能安全,您就可以避免导致未来泄露的陷阱和安全问题。

优网科技,优秀企业首选的互联网供应服务商

优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!

优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、DIY体验、720全景展厅及3D虚拟仿真)、移动端应用(手机站APP开发)、微信定制开发(微信官网、微信商城、企业微信)、微信小程序定制开发等一系列互联网应用服务。


责任编辑:优网科技

版权所有:http://www.uweb.net.cn (优网科技) 转载请注明出处

PKI课堂|如何确保我的网站安全?——17种方法在这里

日期:2024-10-15 17:08:30 发布人:优网科技

每个网站所有者都应该了解某些事情,其中非常重要的一点是如何确保您的网站安全(或者至少尽可能安全)

让我们直接回答您想知道的问题:“如何确保我的网站安全?”


使用公钥加密技术发挥您的优势


1

安装可保护您的主域(和任何子域)

的SSL/TLS证书


在您的网站上使用有效的SSL/TLS证书:


·是使用公钥加密保护传输中数据安全的行业最佳实践。

·提高您网站的Google搜索引擎排名。

·帮助遵守行业数据安全和隐私法律法规。

·通过数字信任支持您的品牌声誉和在客户中的地位。


当数据以明文形式传输时,很容易受到中间人 (MitM) 攻击。这意味着黑客可以查看并窃取敏感数据(信用卡、银行帐户信息、用户名和密码等),并用于实施犯罪。他们还可以注入恶意内容并造成许多其他问题。


如何确保网站安全的列表中的下一项与第一项密切相关。  


2

使用自动化管理您的PKI数字资产

以避免服务中断


如果您的网站或Web应用程序上的SSL/TLS证书已过期、已撤销或无效,则意味着您的网站、应用程序和客户将遇到停机或服务中断。


例如,如果您的网站使用无效的SSL/TLS证书,您的客户可能会看到以下类型的消息:



如果您的网站使用过期的网站安全证书,情况可能如下(在Google Chrome中):



使用自动化来简化您的证书管理任务


如果您想让自己更轻松地完成这些任务,请考虑使用证书管理自动化工具。这些工具旨在让您能够全面了解网络以及遍布其中的加密资产,从而使证书管理变得更加轻松。



3

使用值得信赖的安全检测工具

定期检测您的网站


理想情况下,您应该使用日常网站扫描程序来识别漏洞和其他必须解决的问题。使用网站监测工具可以帮助您查找和识别网站上可能存在的问题。


SiteLock是一款监控工具,可通过自动扫描、检测和阻止网络威胁来增强网站的安全性。



此外,MySSL.com是亚洲诚信TrustAsia推出的一款免费应用于HTTPS最佳实践的SSL安全评估和在线证书检测工具集,其广泛应用于HTTPS网址,能为网站实时提供HTTPS监测和保护。

访问网址https://myssl.com查看详细站点报告


4

使用Web应用程序

防火墙(WAF)


Web应用程序防火墙通常被认为是行业首选,可帮助组织保护其Web应用程序免受恶意行为者和网络攻击。


它的工作是帮助您过滤和监控HTTP/HTTPS流量,以识别进出您的网站/Web 应用程序的任何异常活动。


WAF可以帮助您识别流量激增和下降,观察流量来自哪里,以及帮助您阻止不良机器人流量。


这对于帮助您识别和缓解DDoS攻击非常有用。


但不要认为仅使用WAF就足够了;使用此工具应该是更大的网络安全策略的一部分。


不确定您的网站或网络应用程序是否需要 WAF?问自己几个简单的问题:


您是否通过网络应用程序收集客户的个人数据?

您的组织从事电子商务活动吗?

您想要更清楚地了解您的流量吗?

您希望能够帮助识别和阻止DDoS攻击吗?


如果这些问题中任何一个的答案是“是”,那么您应该使用Web应用程序防火墙。


5

监控您的网站日志

(自动化工具可以提供帮助)


网站和网络应用程序监控对于每个网站的安全都至关重要。


同样,网站日志提供与访问请求、更改、错误以及安全事件和事件相关的大量信息。但现实情况是,它们会生成大量数据,几乎不可能手动完成。 


正如您可以想象的那样,这些工具会产生大量的“噪音”。值得庆幸的是,有一些自动日志分析工具可以帮助您收集和理解所有类型的数据。


维护最新的网站安全工具/插件

(主要针对WordPress网站管理员)


您的网站使用WordPress吗?如果苕,以下部分的讨论要点将主要适用于您。


6

确保您使用的是

主机客户端的最新软件版本


无论您使用哪种主机管理软件(例如,用于共享主机的cPanel、Plesk、DirectAdmin),请确保您的服务器运行最新版本。如果不是,那么您需要升级到最新版本的界面。


应用系统补丁和更新使软件开发人员能够修复现在和/或将来可能给您带来问题的任何漏洞或问题。因此,与任何软件一样,请确保您的软件版本尽可能保持最新。


例如,如果您是cPanel用户,登录后,您可以通过向下滚动到仪表板底部来了解您正在使用的软件版本:



7

安装来自受信任的

开发者和发行商的插件


如果您是WordPress网站管理员,您可能非常熟悉WordPress插件、主题和其他附加组件。插件可以满足并简化各种需求和任务,提供灵活性和定制机会。


然而,缺点是,如果开发人员没有仔细管理和更新这些工具,安装这些工具可能会增加攻击面。使用保护不力和过时的网站插件会在网站的防御中产生原本可能不存在的漏洞。


正是由于这些原因(以及其他原因),如果您决定使用第三方插件和主题,您应该只选择来自定期更新其产品的信誉良好的开发人员/发行商的插件和主题。在决定使用哪个插件之前,请务必阅读评论并通过其他来源进行研究。


8

使所有主题和

插件保持最新


WPScan报告称,其数据库中94%的漏洞都是插件。据了解,跨站点脚本 (XSS) 攻击者会使用易受攻击的插件将恶意代码注入WordPress网站。根据严重程度,这种类型的攻击可以使坏人完全接管您的网站。 


由于这些原因,您必须保持主题和插件最新。这样做既是行业最佳实践,也是防止威胁行为者利用您网站上的漏洞的方法。


这在WordPress中非常简单。在 WordPress 仪表板的左侧导航栏中,单击“插件”,它将显示一个页面,其中列出了所有已安装的插件(包括活动的和停用的)。在这里,您可以手动更新、激活和停用插件,或启用自动更新。 


注意:如果插件存在漏洞但尚未更新,您将不会在此处看到它。这也是定期(每日)进行漏洞扫描至关重要的另一个原因。



对于主题,只需查看左侧导航栏中的“更新”选项并向下滚动即可。如果任何主题需要更新,它会告诉您,并且只需单击两次即可选择更新它们。


安全访问您的管理仪表板

和其他敏感资源


9

严格控制分配的

管理权限和访问权限


好的,我们已经完成了回答以下问题的方法列表的一半:“如何确保我的网站安全?”现在,请跟着我重复一遍:并非每个想要访问的人都需要访问。


仅仅因为员工想要对您的网站、数据库或其他相关资源进行管理员访问,就应该拥有它。只能在最低级别授予访问权限。这就是最小特权原则(PoLP,或也称为最小特权模型)背后的想法。


例如,对网站管理仪表板的访问权限应仅限于那些在其角色中需要它的个人。应根据各个员工的工作职责和他们期望完成的任务来授予访问权限。就是这样。只需给予他们完成工作所需的绝对最低权限即可。


这意味着,负责撰写和发布博客文章的营销专家可能不需要与需要处理网站根目录的网络开发人员相同级别的访问权限。同样的想法也适用于访问您的服务器和其他敏感资源。请务必小心确保仅将管理员权限分配给角色需要这些权限的人员。


下面是一个简单示例,展示了在WordPress博客中按角色为用户分配访问权限时的情况:



10

要求使用安全、唯一

的密码(和密码管理器)


虽然这看起来很简单,但实践强大的密码安全性是您可以让员工了解的最重要的一点之一。这是因为您员工的帐户(以及他们接触的所有内容)的安全性取决于他们用于访问帐户的凭据。


如果他们的密码是从其他帐户回收的,或者如果它们是几乎可以在任何违规列表中找到的通用密码,那么就您网站的安全而言,它们毫无用处。


我们看到了一个反例,基因检测公司23andMe 在数据泄露后指责客户,称他们正在重复使用在其他第三方数据泄露中受到损害的登录凭据。


设置密码要求并根据泄露/被破坏的密码和常用密码的已知数据库检查输入至关重要。


这样,如果您的销售团队中的Sam尝试将其密码更改为已被识别为已泄露的密码,您可以这样做,以便他必须将其输入更改为其他密码。 

(注意:不要告诉用户该密码已被使用,这会泄露太多信息。相反,应告知用户他们的密码选择无效,并让他们重新输入新密码。)


此外,花时间向用户介绍所有帐户的密码安全最佳实践,包括其网站登录凭据。本主题应包括有关安全存储密码的对话(即,将它们保存在密码管理工具中,而不是将它们存储在便利贴上)。


11

实施零信任

流程和程序


零信任背后的想法是,你永远不会自动信任任何东西或任何人,并且必须始终验证一切。(这一切都与持续身份验证有关。)


实际上,每个公司都应该以这种方法为目标,以保护其网络和整体IT基础设施的安全。但这如何应用于您的网站呢?


当涉及到保护对网站的管理访问时,请依靠数字身份验证和身份验证方法,而不仅仅是传统的用户名密码组合。那么,当您尝试以管理员身份登录您的网站时,有哪些方法可以帮助您验证某人的数字身份呢?


实施人工验证安全措施(MFA、CAPTCHA等)


消除不良机器人流量和暴力攻击者的第一步是实施多重身份验证 (MFA)、验证码/reCAPTCHA或等效替代方案,例如Cloudflare Turnstile。


让我们快速回顾一下这些工具的用途:

多重身份验证——这些工具要求用户通过更复杂的方法证明其身份,从而为身份验证过程增加了另一层安全性。例如,您必须知道密码并拥有一部能够接收来自身份验证应用程序(例如Google Authenticator或Okta)的推送通知的手机。

CAPTCHA或reCAPTCHA——这些自动化安全机制要求您做一些事情来证明您是真人而不是机器人才能进行身份验证。例如,您可能必须挑选图片、单击机器人、回答数学问题、解决难题或以其他方式参与。


Cloudflare Turnstile——这种验证码技术的替代方案运行 JavaScript 挑战,检测人类行为并在后台涉及密钥和令牌。这种机制不需要用户解决任何谜题或以类似的方式参与。


当您在WordPress上启用Cloudflare Turnstile或数学验证码并且有人尝试使用错误的密码登录时,情况如下:



要求管理员使用安全连接


作为一个组织,您可以做的事情之一就是建立公司内部政策,涵盖每个员工都应遵守的既定行为和标准。


例如,当员工登录其工作设备时,您可以设置一个确认屏幕,传达他们必须确认才能访问设备的设定行为和标准。


在您记录的程序中,请务必指定在访问安全数字资产和系统(包括您网站的管理仪表板)时,授权用户必须始终使用安全的加密连接。以下是实现此目的的两种方法:


要求办公室员工通过公司的安全以太网进行连接,或者要求远程工作的用户使用基于 PKI客户端身份验证证书的安全 VPN 连接。


12

限制

无效登录尝试


对于了解如何保护网站来说这是一个大问题。如果您不希望人们试图强行进入,防止他们这样做的一个很好的安全措施是设置帐户锁定阈值。例如,您可以将其设置为任何用户尝试输入密码的次数不得超过三次。之后,该账户将被锁定指定时间(10分钟、3小时、24小时等)。



这种方法有助于防止攻击者使用猜测的用户名——密码组合释放脚本,以暴力方式进入您的网站。出于同样的原因,这也有利于撞库和其他类似的攻击。


13

使用允许列表和阻止列表

来限制对管理控件的访问


允许列表(以前称为白名单)和阻止列表(以前称为黑名单)是网站管理员可以精细控制对其数字资产的访问的工具。它们可用于多种场景,包括网站白名单和电子邮件帐户。


对于网站,白名单通常依赖于用户的IP地址。例如,您可以使用白名单将网站特定部分(例如登录页面)的访问权限限制为仅允许一个或多个指定用户通过将其IP地址包含在白名单中。


同样,您可以使用阻止列表来阻止特定用户访问您网站的部分内容。


想象一下这样一个场景:您在一个受限制的封闭社区购买了一套漂亮的房子。


如果您希望只有某些人可以进入房屋,您可以向社区的安全团队提供允许进入的授权用户列表(白名单)。


如果您不想让某人进入您的新住所,您可以向门口的警卫提供该人的信息。该人将被禁止访问该财产(黑名单)。


使用允许列表时,您可以将默认访问设置设置为拒绝,从而排除未明确注明IP地址的任何人。但是如何使用它来仅允许来自指定IP地址的连接呢?


14

使用加盐来提高

存储的密码哈希值的安全性


如果您的网站允许用户通过创建用户名和密码登录,那么本部分适合您。密码加盐是数据库安全中的一种重要做法,用于保护存储的密码相关详细信息。


您永远不想在数据库中存储明文密码,因为它们很容易通过哈希表和彩虹表攻击而受到损害。相反,您应该存储的是加盐密码哈希值。


此过程涉及获取输入(即明文密码)并在应用加密哈希函数之前向其添加盐(随机的、唯一的数据字符串)。这会生成一个唯一的密码哈希值,您可以使用它来代替明文密码。


让我们想象一下使用密码Password123和盐值+Oa8kFpYobjX: 


即使两个用户使用相同的密码,当在应用哈希函数之前向其添加唯一的盐值时,每个用户的密码得到的哈希值将完全不同。

  

实施数据库强化技术


15

对数据库的

安全访问(物理和远程)


您的网站和数据库是独立的,但相互关联的数字资产必须受到保护。网站使用数据库作为各种内容(例如网站副本、图形、视频媒体等)的后端存储和管理系统。他们依靠数据库来存储可以检索并显示给用户的数据,而无需将所有内容直接硬编码在网站上。 


强大的数据库安全性允许对数据进行授权访问,同时仍然保持数据库本身的机密性、完整性和可用性 (CIA)。


您可以使用物理安全措施——锁定数据库服务器、使用ID卡实施安全访问、安装摄像头等。但是,如果您的数据库不在本地,该怎么办?然后,至少使用单独的数据库供内部和外部使用。


要求授权用户通过VPN使用基于客户端身份验证的安全连接来连接到您的数据库。请记住:仅向角色需要访问权限的人员授予访问权限! 


16

保护您的Web应用程序

和表单免受常见数据库攻击


还记得我们提到过黑客总是寻找最简单的切入点吗?其中一种方法是在您网站的Web应用程序中搜索他们可以利用的SQL注入缺陷。使数据库更安全地抵御SQL攻击技术的一些方法包括:


使用参数化数据库查询

清理网络应用程序输入

保持后端组件(库、框架、数据库软件等)最新


17

使用自定义端口帮助

减少日志混乱并限制自动攻击


网络犯罪分子喜欢瞄准“容易实现的目标”,即网络安全机制过时、蹩脚或不存在的网站和数据库,这已不是什么秘密。为什么?因为它们很容易挑选。这就相当于鲨鱼瞄准了一只受伤的海豹,而不是一只可以反击的健康、身体健全的海豹。


使用默认端口号是坏人容易利用的机会之一。端口允许信息在网站和连接到该网站的浏览器之间流动。例如,安全外壳 (SSH) 协议常用的端口是端口 22。例如,IONOS建议将其更改为“1024 到 65536”范围之间的端口。根据IANA TCP和UDP端口号分配指南,“众所周知的端口由IANA 分配,范围为0-1023”,因此最好避免将它们用于部署或产品发布。



简而言之,从默认端口号更改为自定义端口号是一种通过模糊性创建安全层的方法。


然而,值得注意的是,端口扫描本身在技术上并不是一种威胁。这是一种侦察方法,可为攻击者提供可用来对付您的信息。


要确定要使用的端口号,请查看互联网号码分配机构 (IANA) 的服务名称和传输协议端口号注册表,了解哪些号码不用于其他服务。


关于如何确保

网站安全的最终要点


虽然口碑仍然发挥着至关重要的作用,但您的网站通常为客户提供了您公司的第一印象。


这就是为什么拥有一个信息丰富、有用、性能良好且安全的网站很重要。没有人喜欢收到他们所使用的网站或服务已被泄露的公司的通知。如果您现在就采取措施使您的网站、网络应用程序和其他数字资产尽可能安全,您就可以避免导致未来泄露的陷阱和安全问题。

责任编辑:优网科技

版权所有:http://www.uweb.net.cn (优网科技) 转载请注明出处

上一篇 返回列表 下一篇
推荐案例
眼光高度决定品牌厚度 !
广州网站建设-大良实验小学系统开发
广州网站建设-大良实验小学系统开发
大良实验小学于1998年成立,占地4万5千多平方米,是顺德区规模的民办学校之一。现有71个教学班,学生3223人,教职员工436人。学校按广东省一级学校标准建设,配有图书馆、舞蹈室、管乐室、多媒体电子琴室、实验室、英语乐园等功能场室36个,还拥有大礼堂、羽毛球馆、生物园、地理园、游泳池和200米塑胶运动场等活动场所。学校先后荣获“广东省一级学校”、“全国少先队红旗大队”、“广东省首届优秀书香校园”、“广东省书法教育名校”、“广东省综合实践样本学校”等光荣称号。
广州网站建设-海天味业公众号开发
广州网站建设-海天味业公众号开发
海天是中国调味品行业的优秀企业,专业的调味品生产和营销企业,历史悠久,是中华人民共和国商务部公布的首批“中华老字号”企业之一。目前生产的产品涵盖酱油、蚝油、酱、醋、料酒、调味汁、鸡精、鸡粉、腐乳等几大系列百余品种300多规格,年产值过百亿元。
广州网站建设-中凯网站建设
广州网站建设-中凯网站建设
中凯(海南)控股集团有限公司本次项目是集团网站建设,与优网科技合作过程中,双方配合默契,保质保量的仅一个月就完成了整站建设。优网科技帮助中凯(海南)快速树立了一个集团专业形象展示,同时网站的设计效果、体验和交互也让中凯(海南)非常满意。
广州网站建设-中国联塑网站建设
广州网站建设-中国联塑网站建设
中国联塑集团控股有限公司(简称:中国联塑,股份代号:2128.HK )是国内大型建材家居产业集团,产品及服务涵盖管道产品、水暖卫浴、整体厨房、整体门窗、装饰板材、净水设备、消防器材、卫生材料、海洋养殖、环境保护、建材家居渠道与服务等领域。
广州网站建设-前海益广网站建设
广州网站建设-前海益广网站建设
深圳前海益广股权投资有限公司成立于2016年04月18日,注册地位于深圳市前海深港合作区前湾一路1号A栋201室,经营范围包括一般经营项目是:股权投资;受托管理股权投资基金;受托资产管理;企业管理咨询、经济信息咨询;投资兴办实业等。
广州网站建设-萨米特高端品牌网站建设
广州网站建设-萨米特高端品牌网站建设
佛山市萨米特陶瓷销售有限公司始于2000年,在陶瓷行业风潮中发展壮大,是新明珠陶瓷集团的核心品牌。萨米特瓷砖注重营销系统的升级与消费体验模式的实施,倡导“设计+生活”的品牌理念,致力于打造有温度,有态度的瓷砖品牌。用设计提高人居价值,以创新驱动行业发展,与全球不同国家和文化背景的消费者共享美好家居。
广州网站建设-欧迪克网站建设
广州网站建设-欧迪克网站建设
佛山市南海欧迪克五金制品有限公司始创于2003年,致力于发展高端硅镁铝合金安全门窗,木铝门窗、阳光房定制,集研发、生产、销售、服务于一体。自创立以来,系列产品畅销大江南北,获得由权威媒体及单位颁发的多项殊荣。目前为止,“欧迪克门窗”的专卖店遍布全国800多个县市及地区,共有1000多家专卖店辐射全国。
广州网站建设-好太太网站建设
广州网站建设-好太太网站建设
好太太集团是一家集研发、生产、销售、服务于一体的智能家居企业,产品与服务涵盖智能晾晒、智能锁、智能电器等众多领域。坐落于广州番禺区,自1999年始便致力于打造 “好太太”品牌,经过将近二十年的发展,如今好太太已成为全球的晾衣架行业研发、生产、销售、服务商,在中国拥有近2000万户家庭在使用好太太产品。好太太集团于2017年主板上市,成为智能晾晒领域首家A股上市企业。
广州网站建设-中山公用水务网站建设
广州网站建设-中山公用水务网站建设
中山公用事业集团股份有限公司成立于1998年,是一家国有控股的上市公司(SZ:000685)。公司坚持“产业经营+资本运营”双轮驱动的战略思路,定位环保水务为核心业务,通过提升环保水务板块的产业经营能力,与资本运营平台协同增效,致力打造行业内有影响力的领先企业,积极担当社会责任和环境保护的公民企业,促成员工实现自身价值的平台企业。
广州网站建设--华标集团物业公众号
广州网站建设--华标集团物业公众号
华标集团物业为了进一步提升服务质量,满足业主的多元化需求,采用微信公众号作为服务平台,为业主提供日常物业缴费、报事报修、社区活动等便利性服务。本次量身定制的微信公众号,旨在打造一个高效、稳定、便捷的线上服务平台,让业主享受到更加贴心、便捷的物业服务。
广州网站建设-欧派家居集团官网建设
广州网站建设-欧派家居集团官网建设
欧派集团官网作为欧派对外展现品牌形象、传达服务理念的重要信息平台,也向用户展示了欧派最新的资讯和相关的售后服务。优网作为欧派集团的信息化战略合作伙伴,本次的官网开发基于专业的设计水平和扎实的技术能力,为欧派的互联网品牌形象全面升级。
广州网站建设-康臣药业网站建设
广州网站建设-康臣药业网站建设
康臣药业集团(HK.01681)是一家主要从事现代中成药及医用成像对比剂研发、生产及营销的现代化制药企业,创立于1997年,于2013年12月19日在香港联合交易所主板上市,旗下拥有广州康臣药业有限公司、康臣药业(内蒙古)有限责任公司、广西玉林制药集团有限责任公司、广州康臣药物研究有限公司等从事药品生产和研发的企业,运营康臣、玉林等知名医药品牌,在国内建有广东广州、内蒙古通辽、广西玉林等3个生产基地,员工逾2000人。

我要投稿

姓名

文章链接

提交即表示你已阅读并同意《个人信息保护声明》

专属顾问 专属顾问
扫码咨询您的优网专属顾问!
专属顾问
马上咨询
联系专属顾问
联系专属顾问
联系专属顾问
扫一扫马上咨询
扫一扫马上咨询

扫一扫马上咨询

和我们在线交谈!
展开菜单
关于我们
优网观点
项目动态
公司新闻
优网学院
常见问题
收起菜单
活动会议应用
答题应用
班车预定应用
应急值班表应用
春节活动应用
活动直播应用
内部培训及任务应用
返回上一级