在维持在线状态方面,安全并不是我们一直在考虑的问题,但是如今值得考虑。网络攻击一直在发生,几乎所有这些都是可以预防的。
在本文中,我们青岛网络推广公司将介绍如何保护您的网站安全,并且您不必雇用安全专业人士来做到这一点。您可以按照一些基本步骤操作,以使您的网站更加安全,成功攻击的可能性也小得多。
我们将从基础知识开始,然后逐步发展到更高的安全措施,但是所有这些步骤都很容易实现。
制作网站审核清单
每当执行一项艰巨的任务时,核对清单都是一个好主意,确保网站安全的任务也不例外。本文中的每条建议都是您网站安全检查表上的一项。创建清单后,每次在网站上执行安全审核时,该清单都可以作为您的指南。
您不必在每次评估网站安全性时都进行深入审核,但是建议您对第一个网站进行尽可能详尽的工作。
现在,让我们看一下您应该在网站安全审核清单中包括哪些内容。
从一些基本的CMS设置开始
您的内容管理系统(CMS)是您网站的心脏。通过其登录门户,您可以对网站进行任何操作,从发布和删除内容到使网站脱机。您绝对不希望未经授权的用户在这里登录,因此这是开始实施安全措施的合理位置。
检查此元素以确保yoru网站安全
这里是一些重要的事情首先要检查。
用户设置:这是一个很大的设置。如果在CMS平台上启用了不需要的用户,则禁用它们是一种很好的安全做法。如果有任何默认用户(例如admin帐户),则必须确保更改了默认密码。
除了设置强密码之外,将您的管理员帐户的用户名更改为您将要记住的用户名,例如您自己的名称的变体,这很难猜到。这样,默认凭据将变得无用,并且管理员用户名和密码都将难以被猜测。
评论设置:您需要注意网站正在处理的用户输入。不建议让匿名用户访问您网站上的评论,因为对自己的行为不负责任的人发布的评论通常少于奉承的评论。Bot是另一个问题,因为可以使用Bot将垃圾邮件泛滥到您的评论部分。
信息的一般可见性:您不应该公开有关网站后端的任何信息。攻击者将尝试探测您的安装,以找到可用于您的站点的攻击媒介和工具。
即使知道您正在运行的软件和插件的版本,也可以为攻击者提供帮助。通常的经验法则是,您不希望任何人看到除您打算为用户提供的内容以外的任何内容。
输入验证:您网站上任何接受用户输入的地方都需要进行体面的输入验证。那就是过滤或禁止输入特定字符和击键的任何内容。SQL注入攻击可以通过添加特殊字符来欺骗您的系统以执行SQL查询。
这会诱骗您的网站运行它认为来自经过验证的用户的查询。更新CMS通常会阻止这种攻击,但是,如果您使用任何自定义的Web应用程序或插件,则需要了解每个当前的安全隐患。
始终创建备份!
查看如何定义您的权限
仔细管理网站的文件和文件夹权限对您的网站安全至关重要。每当您需要更新网站上的内容时,您的Web服务器都会验证尝试进行更改的用户的访问权限。如果该用户具有访问权限和相关权限,则可以进行更改。这就是我们前面提到的用户设置如此重要的原因。运行用户权限审核时,您可以签出文件访问权限,用户访问权限等。
要注意的主要权限设置为:
用户权限:在CMS中设置的每个用户都需要具有为其分配的特定属性和权限。在信息安全领域,有一种称为“最小特权”的原则,它对于这类设置特别有用。
标准用户只能访问能够增强其在您的网站上的体验的内容,这很有意义,因为该网站适合他们。只有授权用户才有权更改任何内容。
所有者,组或公共:管理用户意味着您需要对它们进行分类并将其放入适当的组中。每个组提供不同的访问级别。所有者具有对网站内容的读写权限,这意味着他们可以随意创建和删除文件。公共访问通常被锁定,并且仅允许读取访问。
读取,写入或执行:这些是文件权限,它们确定是否可以打开,读取或更改文件。如果用户具有执行权限,则他们能够安装应用程序和插件。标准用户不应具有此访问级别。