从黑客那里保护公司网站的12个技巧

通常您的网站开放运行如同无需锁门但依然安全开放的办公室一样:因为大多数人不会仅仅步入并访问您的办公室就洞察到您所有的数据信息。偶尔您会发现有不怀好意的人进入并偷走你的数据。这就是为什么您的办公室门和保险箱有锁。

您的网站同样需要有适当的保护系统,否则您将永远无法察觉到是否有人进来。电子窃贼搜索您的网站以获取客户帐户的详细信息,尤其是他们的信用卡信息是难以察觉并迅速的。您有法律义务保护这类数据免遭盗窃并及时报告出现的安全漏洞。

相关:保护客户隐私的七步指南

盗窃并不是黑客唯一的想法:纯粹的破坏是他们主要的动机。黑客可能想破坏您的所有记录,在客户的屏幕上发布病态消息或者只是破坏您的声誉。

您永远无法抹去黑客所造成的伤害,但您可以采取措施来阻止它。即使是最基本的保护也足以阻止许多黑客,从而让他们寻找其它更容易得逞的选择。窃贼更有可能从未实施任何保护措施的人那里窃取信息。

1.保持更新。

您需要及时了解黑客攻击威胁。如果您至少掌握了可行的基本知识,那么您可以保护您的网站免受其侵害。关注技术网站的更新,例如The Hacker News。利用您获得的信息,可以在必要时采取新的预防措施。

2.增强访问控制。

您的网站管理级别可以加密您不希望黑客看到所有内容的简单方法。人为刻意设置成无法被猜到的用户名和密码。将默认数据库前缀从“wp6_”更改为随机且更难猜测的内容。在规定时间内限制尝试登陆的次数,即使密码重置也是如此,因为电子邮件帐户也可能被黑客入侵。以防未经授权的用户获得对帐户的访问权限,请勿通过电子邮件发送登录详细信息。

3.更新一切。

更新花费了软件公司的钱。他们只在必要时才这样做,但许多使用该软件的人不会立即安装更新。如果更新背后的原因是安全漏洞,则延迟更新会使您在过渡期间受到攻击。黑客可以每小时扫描数千个网站,寻找可以让他们闯入的漏洞。他们疯狂地联网,所以如果一个黑客知道如何进入程序,那么数百名黑客也会知道。

相关:5个避免被黑客入侵的愚蠢建议

4.加强网络安全。

您办公室中的计算机用户可能会不经意地为您的网站服务器提供简单访问路径。因此需要确保:

  • 在短暂不活动后登录过期。
  • 密码经常更改。
  • 密码保密性很强,并且永远不要记录下来。
  • 每次连接时,都要扫描插入网络的所有设备是否存在恶意软件。

自从我们成立托管公司以来,我们必须一分钟一分钟地观察我们的网络安全,以防被黑客入侵。

5.安装Web应用程序防火墙。

Web应用程序防火墙(WAF)可以基于软件或硬件。它设置在您的网站服务器和数据连接之间,并读取通过它的每一位数据。

大多数现代WAF都是基于云的,并提供即插即用服务,同时每月订阅费用适中。基本上,云服务部署在服务器前面,作为所有传入流量的网关。一旦安装Web应用程序防火墙便可以完全放心,通过它可以阻止所有黑客攻击尝试,并过滤掉其他类型的不需要的流量,如垃圾邮件发送者和恶意机器人。这是避免像Craigslist那样被黑客入侵的好方法。

相关: Google推出Project Zero,一个打击黑客的精英网络安全小组

6.安装安全应用程序。

虽然没有成熟的WAF技术那么有效,但是仍可以选择有一些免费和付费的安全应用程序来安装,这将使黑客更难得逞。事实上,甚至一些免费的插件,例如Acunetix WP Security的插件,也可以通过隐藏网站CMS的身份来提供额外的保护。因为自动黑客工具通过侦查网络,寻找因有特定构建和版本而具有一个或多个已知漏洞的WordPress站点。因此通过使用这个工具能帮您更好地抵御自动黑客工具,

7.隐藏管理页面。

您不希望搜索引擎将您的管理页面编入索引,因此您应该使用robots_txt文件来阻止搜索引擎列出它们。如果它们没有编入索引,那么黑客就很难找到它们。来自SEObook.com的本教程可以提供您需要的所有帮助。

8.限制文件上传。

文件上传是一个主要问题。无论系统如何彻底检查它们,错误仍然可以通过并允许黑客无限制地访问您网站的数据。最好的解决方案是阻止直接访问任何上传的文件。将它们存储在根目录之外,并在必要时使用脚本来访问它们。您的网站托管服务商可能会帮助您进行设置。

9.使用SSL。

使用加密的SSL协议来传输网站和数据库之间用户的个人信息。在没有适当权限的情况下这可以防止在传输和访问中读取信息。

10.删除表单自动填充。

当您为网站上的表单启用自动填充时,您可能会受到来自任何被盗用户的计算机或手机的攻击。您绝不应将您的网站暴露,从而被因懈怠而被盗用的合法用户所攻击。

11.经常备份。

万一发生了最坏的情况,请保证所有数据已备份。即时备份,备份到异地,每天多次备份所有内容。每次用户保存文件时,它都应自动备份到多个位置。每天仅仅备份一次意味着当此硬盘发生故障时,你便会丢失当天的数据。请记住每个硬盘都会失败。

12.你无法隐藏你的代码。

您可以也许会购买到据说能隐藏您网页上的代码的软件,但它根本不起作用。浏览器需要访问您的代码以便呈现您的网站页面,因此有简单的方法可以绕过网页“加密”。

无法用“单击右键”来查看网站代码的方式对用户来说很麻烦,因为它还会禁用所有其他“单击右键”功能,并且每个黑客都知道有简单的应对方法。如果您被告知以上的情况,请阅读HTMLgoodies.com上的这篇文章,它可以为您深入解释为什么您永远不能隐藏您的代码。

您的经历:您的网站遭到黑客入侵吗?犯罪分子是如何进入的?请在下面的评论区分享您的故事,包括您在攻击后所做的尝试。

相关:如何保护你的小企业免受网络攻击

本文的版权归 Beryl Chao 所有,如需转载请联系作者。

发表于

NewTech视野

1 篇文章1 人订阅

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

GPON Home Router家庭光纤网关设备漏洞技术分析

什么是GPON终端?PON终端,俗称“ 光猫”,作用类似于大家所熟悉的ADSL Modem,是光纤到户家庭需备的网络设备。根据不同的技术和标准,PON 又为分为...

1433
来自专栏BestSDK

0元买!买!买!支付平台再曝漏洞,JAVA SDK存在XXE攻击|附解决方法

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务...

1333
来自专栏企鹅号快讯

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员 发现 了一个新的 Linux 加密僵尸网络,并将其命名为”PyCryptoMiner”,它主要的攻击目标是具有公开 SS...

22810
来自专栏FreeBuf

安卓现新的木马病毒,可模仿用户点击下载危险的恶意软件

安卓用户正面临一个新的威胁,威胁来自于一个模仿Adobe Flash Player的恶意APP,名为Android/TrojanDownloader.Agent...

4028
来自专栏FreeBuf

多伦多大学:UC浏览器收集并发送用户隐私数据分析报告

0x01 问题概要 UC浏览器是中国和印度地区最为流行的web浏览器,也是全球第四大移动浏览器,仅次于chrome、Android浏览器和Safari浏览器,目...

4979
来自专栏鹅厂网事

谁动了我的域名

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下! 一...

3985
来自专栏FreeBuf

Uber平台现身份认证漏洞,利用漏洞可重置任意账户密码

意大利安全专家Vincenzo C. Aka发现Uber平台存在身份认证漏洞,任意账户都可以利用该漏洞重置密码,这一发现于昨日正式公布。实际上,引发此次“身份认...

2088
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文:https://www.malwaretech.com/2017/11/creating-a-simple-free-malware-analysis-e...

4099
来自专栏V站

当你360搜索引擎收录为0与1,被K时应该这么做?

在被360搜索引擎满收录的那些日子,突然有一天,许多站点都被K光(不包含新站),当然月宅酱的博客也不例外,被K了只有www一个首页,也没有拒绝360爬虫,更没有...

4602
来自专栏FreeBuf

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

22810

扫码关注云+社区

领取腾讯云代金券