在如今数字时代,网站安全对于任何企业或个人都是至关重要的。无论是商业网站、博客还是社交媒体平台,保护用户信息和网站数据的安全性是首要任务。那么如何确保网站安全呢?本文将为你介绍确保网站安全的17种方法,以帮助提升网站的安全性,保护自己和用户的利益。
一、使用公钥加密技术发挥您的优势
1、安装可保护您的主域(和任何子域)的SSL/TLS证书
在您的网站上使用有效的SSL/TLS证书:
- ·是使用公钥加密保护传输中数据安全的行业最佳实践。
- ·提高您网站的Google等搜索引擎的排名。
- ·帮助遵守行业数据安全和隐私法律法规。
- ·通过数字信任支持您的品牌声誉和在客户中的地位。
当数据以明文形式传输时,很容易受到中间人 (MitM) 攻击。这意味着黑客可以查看并窃取敏感数据(信用卡、银行帐户信息、用户名和密码等),并用于实施犯罪。他们还可以注入恶意内容并������造成许多其他问题。
如何确保网站安全的列表中的下一项与第一项密切相关。
2、使用自动化管理您的PKI数字资产以避免服务中断
如果您的网站或Web应用程序上的SSL/TLS证书已过期、已撤销或无效,则意味着您的网站、应用程序和客户将遇到停机或服务中断。
例如,如果您的网站使用无效的SSL/TLS证书,您的客户可能会看到以下类型的消息:
如果您的网站使用过期的网站安全证书,情况可能如下(在Google Chrome中):
使用自动化来简化您的证书管理任务
如果您想让自己更轻松地������完成这些任务,请考虑使用证书管理自动化工具。这些工具旨在让您能够全面了解网络以及遍布其中的加密资产,�����从而使证书管理变得更加轻松。
3、使用值得信赖的安全检测工具定期检测您的网站
理想情况下,您应该使用日常������网站扫描程序来识别漏洞和其他必须解决的问题。使用网站监测工具可以帮助您查�����找和识别网站上可能存在的问题。
SiteLock是一款监控工具,可通过自动扫描、检测和阻止网络威胁来增强网站的安全性。
4、使用Web应用程序防火墙(WAF)
Web应用程序防火墙通常被认为是行业首选,可帮助组织保护其Web应用程序免受恶意行为者和网络攻击。它的工作是帮助您过滤和监控HTTP/HTTPS流量,以识别进出您的�����网站/Web 应用程序的任�������何异常活动。WAF可以帮助您识别流量激增和下降,观察流量来自哪里,以及帮助您阻止不良机器人流量。这对于帮助您识别和缓解DDoS攻击非常有用。
但不要认为仅使用WAF就足够了;使用此工具应该是更大的网络安全策�������略的一部分。不确定您的网站或网络应用程�������序是否需要 WAF?问自己几个简单的问题:
- 您是否通过网络应用程序收集客户的个人数据?
- 您的组织从事电子商务活动吗?
- 您想要更清楚地了解您的流量吗?
- 您希望能够帮助识别和阻止DDoS攻击吗?
如果这些问题中任何一个的答案是“是”,那么您应该使用Web应用程序防火墙。
5、监控您的网站日志(自动化工具可以提供帮助)
网站和网络应用程序监控对于每个网站的安全都至关重要。
同样,网站日志提供与访问请求、更改、错误以及安全事件和事件相关的大量信息。但现实情况������是,它们会生成大量数据,����几乎不可能手动完成。
正如您可以想象的那样,这些工具会产生大量的�����������“噪音”。值得庆幸的是,有一些自动日志分析工具可以帮助您收集和理解所有类型的数据。
二、维护最新的网站安全工具/插件(主要针对WordPress网站管理员)
您的网站使用WordPress吗?如果苕,以下部分的讨论要点将主要适用于您。
6、确保您使用的是主机客户端的最新软件版本
无论您使用哪种主机管理软件(例如,用于共享主机的cPanel、Plesk、DirectAdmin),请确保您的服务器运行最新版本。如果不是,那么您需要升级到最新版������本的界面。
应用系统补丁和更新使软件开发人员能够修复现在和/或将来可能给您带来问题的任何漏洞或问题。因此,与任何软件一样,请确保您的软件版本尽可能保持�����最新。
例如,如果您是cPanel用户,登录后,您可以通过向下滚动到仪表板底部来了解您正在使用的软件版本:
7、安装来自受信任的开发者和发行商的插件
如果您是WordPress网��������站管理员,您可能非常熟悉WordPress插件、主题和其他附加组件。插件可以满足并简化各种需求和任务,提供灵活性和定制机会。
然而,缺点是,如果开发人员没有仔细管理和更新这些工具,安装这些工具可能会增加�������攻击面。使用保护不力和过时的网站插件会在网站的防御中产生原本可能不存在的漏洞。
正是由于这些原因(以及其他原因),如果您���决定使用第三方插件和主题,您应该只选择来自定期更新其产品的信誉良好的开发人员/发行商的插件和主题。在决定����使用哪个插件之前,请务必阅读评论并通过其他来源进行研究。
8、使所有主题和插件保持最新
WPScan报告称,其数据库中94%的漏洞������都是插件。据了解,跨站点脚本 (XSS) 攻击者会使用易受攻击的插件将恶意代码注入WordPress网站。根�������据严重程度,这种类型的攻击可以使坏人完全接管您的网站。
由于这些原因,您必须保持主题和插件最新。这样做既�������是行业最佳实践,也是防������止威胁行为者利用您网站上的漏洞的方法。
这在WordPress中非常简单。在 WordPr��������ess 仪表板的左侧导航栏中,单击“插件”,它将显示一个页面,其中列出了所有已安装的插件(包括活动的和停用的)。在这里,您可以手动更新、激活和停用插件,或启用自动更新。
注意:如果插件存在漏洞但尚未更新,您将不会在此处看到它。这也是定期(每�����日)进行漏洞扫描至关重要的另一个原因。
对于主题,只需查看左侧导航栏中的“更新”选项并向下滚�������动即可。如果任何主题需要更新,它会告诉您,并且只需�����单击两次即可选择更新它们。
三、安全访问您的管理仪表板和其他敏感资源
9、严格控制分配的管理权限和访问权限
好的,我们已经完成了回答以下问题的方法列表的一半:“如何确保我的网站安全?”现在,请跟着我重复一遍:并非每个想要访问的���人都需要访问。
仅仅因为员工想要对您的网站、数据库或其他相关资源进行管理员访问,就应该拥有它。只能在最低级别授予访问权�������限。这就是最小特权原则(PoLP,或也称为最小特权模型)背后的想法。
例如,对网站管理仪表板的访问权限应仅限于那些在其角色中需要�����它的个人。应根据各个员工的工作职责和他们期望完成的任务来授予访问权限。就是这样。只需给予他们完成工作所需的绝对最低权限即可。
这意味着,负责撰写和发布博客文章的营销专家可能������不需要与需要处理网站根目录的网络开发人员相同级别的访问权限。同样的想��������法也适用于访问您的服务器和其他敏感资源。请务必小心确保仅将管理员权限分配给角色需要这些权限的人员。
下面是一个简单示例,展示了在WordPress博客中按角色为用户分配访问权限时的情况:
10、要求使用安全、唯一的密码(和密码管理器)
虽然这看起来很简单,但实践强大的密码安全性是您可以让员工了解的最重要的一点之一。这是因为您员工的帐户(以及他们接触的所有内容)的安�������全性取决于他们用于访问帐户的凭据。
如果他们的密码是从其他帐户回收的,或者如果它们是几乎可以在任何违规列表中找到的通用������密码,那么就您网站的安全而言,它们毫无用处。
我们看到了一个反例,基因检测公司23andMe 在数据泄露后指责客户,称他们正在重复使用在其他第三����方数据泄露中受到损害的登录凭据。
设置密码要求并根据泄露/被破坏的密码和常用密码的已知数据库检查输入至关重要。
这样,如果您的销售团队中的Sam尝试将其密码更改为已被识别为已泄露的密码,您可以这样做,以便他必须将其输入更改为其他密码。 �������;
(注意:不要告诉用户该密码已被使用,这会泄露太多信息。相反,应�����告知用户他们的密码选择无效,并让他们重新输入新密码。)
此外,花时间向用户介绍所有帐户的密码安全最佳实践,包括其网站登录������凭据。本主题应包括有关安全存储密码的对话(即,将它们保存在密码管理工具中,而不是将它������们存储在便利贴上)。
11、实施零信任流程和程序
零信任背后的想法是,你永远不会自动信任任何东西或任何人,并且必须始终验证一切。(这一����切都与持续身份验证有关。)
实际上,每个公司都应该以这种方法为目��������标,以保护其网络����和整体IT基础设施的安全。但这如何应用于您的网站呢?
当涉及到保护对网站的管理访问时,请依靠数字身份验证和身份验证方法,而不仅仅是传统的用户名密码组合。那么,当您尝试以管理员身�����份登录您的网站时,有哪些方法可以帮助您验证某人的数字身份呢?
实施人工验证安全措施(MFA、CAPTCHA等)
消除不良机器人流量和暴力攻击者的第一步是实施多重身份验证 (MFA)、验证码/reCAPTC�������HA或等效替代方案,例如Cloudflare Turnstile。
让我们快速回顾一下这些工具的用途:
- 多重身份验证——这些工具要求用户通过更复杂的方法证明其身份,从而为身份验证过程增加了另一层安全性。例如,您必须知道密码并拥有一部能够接收来自身份验证应用程序(例如Google Authenticat������or或Okta)的推送通知的手机。
- CAPTCHA或reCAPTCHA——这些自动化安全机制要求您做一些事情来证明您是真人而不是机器人才能进行身份验证。例如,您可能必须挑选图片、单击机器人、回答数学问题、解决难题或以�������其他方式参与。
- Cloudflare Turnstile——这种验证码技术的替代方案运行 JavaScript 挑战,检测人������类行为并在后台涉及密钥和令牌。这种机制不需要用户解决任何谜题或以类似的方式参与。
当您在Wor����dPress上启用Cloudflare Turnstile或数学验证码并且有人尝试使用错误的密码登录时,情况如下:
要求管理员使用安全连接
作为一个组织,您可以做的事情之一就是建立公司内部政策,涵盖每个员工都应遵守的既定行为和标准。
例如,当员工登录其工作设备时,您可以设置一个确认屏幕,传达他们必须确认�������才能访问设备的设定行为和标准。
在您记录的程序中,请务必指定在访问安全数字资产和系统(包括您网�������站的管理仪表板)时,授权用户必须始终使用安全的加密连接。以下是实现此目的的两种方法:
要求办公室员工通过公司的安全以太网进行连接,或者����要求远程工作的用�������户使用基于 PKI客户端身份验证证书的安全 VPN 连接。
12、限制无效登录尝试
对于了解如何保护网站来说这是一个大问题。如果您不希望人们试图强行进入,防止他们这样做的一个很好的安全措施是设置帐户锁定阈值。例如,您可以将其设置为任何用户尝试输入密码的次数不�������得超过三次。之后,该账户将�����被锁定指定时间(10分钟、3小时、24小时等)。
这种方法有助于防止攻击者使用猜测的用户名——密码组合释放脚本,以������暴力方式进入您的网站。出于同样的原因,这也有利于撞库和其他类似的攻击。
13、使用允许列表和阻止列表来限制对管理控件的访问
����允许列表(以前称为白名单)和阻止列表(以前称为黑名单)是网站管理员可以精细控制对其数字资产的访问的工具。它们可用于多种场景,包括网站白名单和电子邮件帐户。
对于网站,白名单通常依赖于用户的IP����地址。例如,您可以使用白名单将网站特定部分(例如登录页面)的访问权限��������限制为仅允许一个或多个指定用户通过将其IP地址包含在白名单中。
同样,您可以使用阻止列表来阻止特定用户访问您网站的部分内容。
想象一下这样一个场景:您在一个受限制的封闭社区购买了一套漂亮的房子。
如果您希望只有某些人可以进入房屋,您可以向社区的安全团队提供允许进入的授权用户列表(白名单)。
如果您不想让某人进入您的新住所,您可以向门口的警卫����提供该人的信息。该人将被禁止访问该财产(黑名单)。
使用允�������许列表时,您可以将默认访问设置设置为拒绝,从而排除未明确注明IP地址的任何人。但是如何使用它来仅允许来自指定IP地址的连接呢?
14、使用加盐来提高存储的密码哈希值的安全性
如果您的网站允许用户通过创建用��������户名和密码登录,那么本部分适合您。密码加盐是数据库安全中的一种重要做法,用于保护存储的密码相关������详细信息。
您永远不想在数据库中存储明文密码,因为它们很容易通过哈希表和彩虹表攻击而��受到损害。相反,您应该存储的是加盐密码哈希值。
此过程涉及获取输入(即明文密码)并在应用加密哈希函数之前������向其添加盐(随机的、唯一的数据字符串)。这会生成一个唯一的密������码哈希值,您可以使用它来代替明文密码。
让我们想象一下使用密码Password123和盐值+Oa8kFpYobjX:
即使两个用户使用相同的密码,当在应用哈希函数之前向其添加唯一的盐�����值时,每个用户的密码得到的哈希值将完全不同。
四、实施数据库强化技术
15、对数据库的安全访问(物理和远程)
您的网站和数据库是独立的,但相互关联的数字资产必须受到保护。网站使用数据库作为各种内容(例如网站副本、图形、视频媒体等)的后端存储����和管理系统。他们依靠数据库来存储可以检索并显示给用户的数据,而无需将所有内容直接硬编码在网站上。
强大的数据库安全性允许对数据进行授权访问,同时仍然保持数据库本身的������机密性、完整性和可用性 (CIA)。
您可以使用物理安全措施——锁定数据库服务器、使用ID卡实施安全访�����问、安装摄像头等。但是,如果您的数据库不在本地,该怎么办?然后,至少使用单独的数据库供内部和外部使用。
要求授权用户通过VPN使用������基于客户端身份验证的安全连接来连接到您的数据库。请记住:仅向角色需要访问权限的人员授予访问权限!
16、保护您的Web应用程序和表单免受常见数据库攻击
还记得我们提到过黑客总是寻找最简单的切入点吗?其中一种方法是�����在您网站的Web应用程序中搜索他们可以�����利用的SQL注入缺陷。使数据库更安全地抵御SQL攻击技术的一些方法包括:
- 使用参数化数据库查询
- 清理网络应用程序输入
- 保持后端组件(库、框架、数据库软件等)最新
17、使用自定义端口帮助减少日志混乱并限制自动攻击
网络犯罪分子喜欢瞄准“容�����易������实现的目标”,即网络安全机制过时、蹩脚或不存在的网站和数据库,这已不是什么秘密。为什么?因为它们很容易挑选。这就相当于鲨鱼瞄准了一只受伤的海豹,而不是一只可以反击的健康、身体健全的海豹。
使用默认端口号是坏人容易利用的机会之一。端口允许信息在网站和连接到该网站的浏览器之间流动。例如,安全外壳 (SSH) 协议常用的端口是端口 22。例如,IONOS建议将其更������改为“1024 到 65536”范围之间的端口。根据IANA TCP和UDP端口号分配指南,“众所周知的端口由IANA 分配,范围为0-1023”,因此最好避免将它们用于部署或产品发布。
简而言之,从默认端口号更改为自定义端口号是一种通过模糊性创建安全层的方法。
然而,值得注意的���是,端口扫描本身在技术上并不是一种威胁。这是一种侦察方法,可为攻击者提供可用来对付您的信息。
要确定要使用的端口号,请查������看互联网号码分配机构 (IANA������) 的服务名称和传输协议端口号注册表,了解哪些号码不用于其他服务。
五、关于如何确保网站安全的最终要点
虽然口碑仍然发挥着至关重要的作用,但您的网站通常为客户提供了您公司的第一印象。
这就是为什么拥有一个信息丰富、有用、性能良好且安全的网站很重要。没有人喜欢收到他们所使用的网站或服务已被泄露�����的公司的通知。如果您现在就采取措施使您的网站、网络应用程序和其他数字资产尽可能安全,您就可以避免导致未�������来泄露的陷阱和安全问题。
来源|The SSL Store
编辑|公钥密码开放社区
重要声明:本文来自公钥密码开放社区,经授权转载,版权归原作者所有,不代表开����元旗牌观点,转载的目的在于传递更多知识和信息。
我的评论
还未登录?