常见的网站安全功能和安全隐患(一)
选择主机商时,请记住,没有一项安全功能会使主机平台比下一个更安全。相反,它是由丰富的功能提供的累积保护,有助于为网站提供最高级别的安全性。这些都是理想中希望提供的功能和应该由托管提供商解决一些核心安全问题。
目录
- 1 防火墙
- 2 沙盒开发
- 3 用户访问和密码控制
- 4 数据加密/SSL
防火墙
防火墙是旨在用来在活动到达网络服务器之前对其进行监控和过滤的软件。配置后会创建一套规则,并应用于所有进入和流出的流量,以保护系统和数据。防火墙通过一种或多种方法工作,包括过滤(根据一组过滤器分析通过防火墙的所有数据)、检查(根据批准的数据通过的可信信息数据库检查传入网站的数据)和代理(在未经批准或不良流量到达网站之前捕获它)。单一的防火墙通常配置为适用于共享主机的整个独立服务器,所以个人主机账户几乎无法控制防火墙配置。一些主机计划有可能升级到专用防火墙,这样可以创建特定的规则,决定谁可以(和不能)访问网站。
数据备份、还原点和冗余硬件备份
即使精心管理网站内容,任何形式的事件,包括恶意攻击,都可能导致数据丢失。在备份方面,最好找到一家有多种选择的主机公司。自动和手动数据备份几乎是每个网站托管公司的标准配置,提供网站当前版本的滚动备份。除了这些备份之外,一串还原点还提供了在发生入侵之前跳回早期版本的点——如果已经被入侵了一段时间,那就很有用。冗余硬件备份是承载当前实时服务器版本镜像的额外服务器库,并且集成在服务器发生故障时,流量可以立即路由到冗余备份,以避免停机和将数据丢失降至最低。数据备份还是非常重要的,这方面的内容bluehost推荐阅读:
数据备份的重要性
虚拟主机怎样进行数据备份
虚拟主机数据备份常见错误
沙盒开发
执行任何类型的更新或网站维护都会使整个网站容易受到攻击,特别是如果正在安装和测试新的应用程序或对脚本进行调整。沙箱或开发环境提供了一种安全的方式,可以在实时(但不面向公众)环境中测试所有更改,而不是直接对公众(以及潜在的劫持者/机器人)可访问的文件进行更改。
用户访问和密码控制
对于使用cPanel等软件的托管平台来说,提供不同级别的用户访问控制和密码管理很常见。由于这些用户账户为网站的核心文件提供了不同级别的访问权限,因此它们应该为团队成员保留。根据网站的性质,还可以为客户、订阅者和客座作者设置用户访问权限,每个人都有自己的私人密码以获得访问权限。由于用户访问权可以从简单的内容发布到不受限制的文件访问不等,因此需要为任何特定角色设置最低限度的权限。根据创建的账户类型和其他用户的数量来制定密码政策是很好的经验法则。例如,对网站的运营和面向公众的外观影响更大的账户应该有更严格的准则和更复杂的密码要求。
应该考虑为所有用户账户使用密码管理器,以提高网站的安全性,特别是当与多个员工或承包商合作访问网站时。密码管理器消除了手动创建密码,这往往会导致员工选择弱密码或在多个平台和账户中重复使用密码。密码管理器的主要好处是能够生成强大、复杂的密码,同时还能将这些密码存储在加密的保险库中。网站托管公司可能会提供或推荐密码管理器,如果没有,也有几个值得信赖的安全的应用程序,它们不会在云端存储密码数据。用户访问和密码是客户端的责任,因此仔细和定期监控用户账户与初始配置一样重要。这里关于cPanel的相关内容,可以参考了解 如何保护虚拟主机或者独立服务器的cPanel账户呢?
数据加密/SSL
SSL证书是电子商务的关键部分,在最近谷歌的Chrome浏览器更新后,SSL证书也成为整个安全浏览的更大部分。
这些证书是注册并绑定到域和组织详细信息的小型数据文件。在网站上激活和配置时,它会激活https协议(与http相对),允许在独立服务器和用户的浏览器之间建立安全连接。
通过该安全连接,所有的数据都会被加密,尤其是敏感信息,如消费者信用卡数据、个人联系信息、专有文件等。虽然大多数网站不需要SSL证书,但谷歌的Chrome浏览器已经开始显示信息,即如果网站包含任何类型的表单,在没有合法SSL证书的情况下提交数据,那么该网站不安全。
对于电子商务网站来说,SSL是必要的安全组件。它不仅可以确保敏感信息的加密,也是PCI合规性的要求,如果想在线接受信用卡支付,这是商家处理公司的要求。
谷歌已经表示,一个具有适当加密的安全网站(SSL证书)现在是一个排名信号。这意味着谷歌用于确定网站在搜索中的可见度的核心算法的一部分包括网站是否有有效的证书。如果没有证书,一个拥有SSL的网站(比如竞争对手的网站)就有可能在搜索引擎中排名更好。关于SSL数字证书的相关内容,推荐 更多相关内容 如何安装SSL数字证书。
发布于:2022-02-21,除非注明,否则均为
原创文章,转载请注明出处。
发表评论