保护网站安全十五条建议 2014年05月16日

保护网站安全十五条建议

前段时间我们的部分用户网站受到攻击,造成部分网站间断性无法访问,今天主机91就跟大家提供一些保护网站安全的建议。

由于没有反病毒解决方案之类的软件来保护网站安全,人们只认为保护网站安全是在网站建立之后的工作,并非如此。保护网站只能通过不断的努力,因为遭受黑客攻击会影响到你的企业或品牌。在保护网站安全的第一防线,我们需要一些经过时间检验的基础工作来组成一个详细的安全计划。一下是几个小窍门,来帮助你打下网络安全的基础。    
  
  1. 使用开源脚本:

如果你的公司没有一个熟练的开发团队,那么最好使用开源脚本如WordPress、Drupal、Joomla、麦进斗等,它们都拥有丰富强大的功能且拥有背后拥有由数千人形成的技术支持和软件更新团队。

使用开源脚本防止了由于代码形成的漏洞导致的攻击,你只需要根据自身需求定期更新软件。由那些有信誉的公司开发的商业脚本也是可以选择的,只要他们定期发布新版本和补丁。
  1. 经常更新:

不管是否需要新功能,你需要在新版本发布时就更新原有版本。因为新版本会对bug进行修复,这很重要!如果你不清楚版本更新是否会打破你的定制化功能,那么先在技术论坛中寻求帮助以防更新版本时定制化功能不能正常使用。
  1. 使用强度更高的密码:

像“loveydovey123”、“unicornlover”这样的密码在保护网站安全方面显然稍显逊色,你设置的密码不需要反应你的个人喜好,最重要的功能是要保护网站安全。

使用一个由阿拉伯数字、字母和特殊字符构成的长度在10个字符以内的密码会是比较好的选择,一些app如Lastpass,KeePass会帮助你设计强度比较高的密码并且帮助存储。
  1. 保护管理员邮件地址的安全:

尽量使和你网站关联的电子邮件地址(即管理员邮件地址)远离公众视野,在网页上使用一个完全无关的地址。有助于免受钓鱼网站的欺骗。
  1. 为数据库表添加前缀:

如果你正在使用CMS、博客或论坛,修改默认的数据表前缀。例如使用WordPress建立的数据表默认的前缀是“wp”,如果一个顶级的黑客找到方法从数据库中提取数据,默认的表前缀会造成很大的损失。
  1. 保护数据库的密码:

数据库密码不是一个强制性的要求,如果它是空的仍然可以安装脚本,但是拥有一个数据库密码不会减缓数据库的访问速度,因此没有理由不创建一个。
  1. 删除安装文件:

一旦安装完后,网站操作的日常操作中便不再需要安装文件。黑客很有可能重新运行安装程序,情况数据库,控制网站和内容。最理想的就是一旦安装完成后就删除安装文件,你也可以选择重命名文件夹。
  1. 修改文件(夹)权限:

当安装时一些软件要求读写权限,这可以通过使用特殊的文件夹如config,admin配置使用777代码完成。恢复默认访问权限需要的代码为755或644。拥有读写权限的文件夹可以轻易地访问并修改网站的代码。
  1. 使用安全的FTP访问:

如果你的网站或互联网服务提供商(ISP)支持SFTP,那么上传文件到你的服务器吧,因为没人可以看到你上传、下载的内容。
  1. 限制访问根目录:

除了管理员外的人,永远不要给外人FTP或数据库的操作权限。
  1. 确保存在.htaccess文件:

.htaccess文件被用来为特定的目录指定安全限制,确保你没有意外地删除特定目录或者判断它是否是第一次出现。
  1. 添加robots.txt文件:

robot.txt文件为搜索引擎提供特殊的指示如哪些文件已经被索引了,哪些没有。文档、图像文件可以被隐藏在包下避免被搜索到,也避免了在网络上显示。
  1. 使用安全插件:

成熟的平台都会有插件扩展功能。安全插件为网站提供了一层额外的保护膜。例如,在安装WordPress时,WP Security Scan插件会检查上面提到的步骤是否已经实施。
  1. 浏览顶尖技术博客:

要时刻了解互联网最新出现的漏洞和攻击信息。由于补丁发布有延迟,所以这些信息会帮助你在严重攻击出现时下线从而确保网站安全。Wired’s Threat Level和Kreb’s on Security是两个顶级的技术博客。
  1. 远离不知名的脚本或主题:

所有的盗版中商业盗版和付费主题是最简单的。文件越小,缺少特定版本的软件,没有DLL补丁,这样的软件遇到攻击的可能性自然比正规的软件大。
分享到:
WangZhanAnQuanXingYouHua
推荐阅读