行業新聞與博客

瞭解如何確保網站安全可能是與網站用户分享正面消息和必須通知他們數據已被泄露之間的區別。  

每個網站所有者都應該瞭解某些事情，其中非常重要的一點是如何確保您的網站安全（或者至少儘可能安全）。我們在這裏提供的指導可以作為一些人的快速複習，也可以作為其他人探索的教育指南。

讓我們來討論一下。

如何確保您的網站安全（17 種方法）

讓我們直接回答您想知道的問題：“如何確保我的網站安全？”

使用公鑰加密技術發揮您的優勢

1. 安裝可保護您的主域（和任何子域）的 SSL/TLS 證書

考慮到我們是 SSL 商店，我們列表中的首要項目是網站安全證書也就不足為奇了。然而，我們這樣做的原因並不純粹是有偏見的。在您的網站上使用有效的 SSL/TLS 證書：

• 是使用公鑰加密保護傳輸中數據安全的行業最佳實踐。
• 提高您網站的 Google 搜索引擎排名。
• 幫助遵守行業數據安全和隱私法律法規。
• 通過數字信任支持您的品牌聲譽和在客户中的地位。

當數據以明文形式傳輸時，很容易受到中間人 (MitM) 攻擊。這意味着壞人可以查看並竊取敏感數據（信用卡、銀行帳户信息、用户名和密碼等），並用於實施犯罪。他們還可以注入惡意內容並造成許多其他問題。

如何確保網站安全的列表中的下一項與第一項密切相關......   

2. 使用自動化仔細管理您的 PKI 數字資產以避免停機

如果您的網站或 Web 應用程序上的 SSL/TLS 證書已過期、已撤銷或無效，則意味着您（和您公司的客户支持團隊）的日子會很糟糕。當證書無效時，您的網站、應用程序和客户將遇到停機或服務中斷。

像這樣的停機會給客户留下對您公司的壞印象，破壞關係並導致銷售和收入損失。

查看我們的其他相關文章，瞭解有關過期證書的更多信息：

• 當您的 SSL 證書過期時會發生這種情況
• 您的安全證書已過期：修復方法如下（3 個步驟）

使用自動化來簡化您的證書管理任務

如果您想讓自己更輕鬆地完成這些任務，請考慮使用證書管理自動化工具。這些工具旨在讓您能夠全面瞭解網絡以及遍佈其中的加密資產，從而使證書管理變得更加輕鬆。

1. 想知道您擁有哪些證書以及它們位於何處？完畢。
2. 它們何時發行或將過期怎麼樣？一點也不麻煩。
3. 知道誰負責管理它們怎麼樣？易如反掌。

3.使用值得信賴的安全掃描工具定期掃描您的網站

理想情況下，您應該使用日常網站掃描程序來識別漏洞和其他必須解決的漏洞利用機會。使用網站掃描工具可以幫助您查找和識別網站上可能存在的漏洞和惡意軟件。

SiteLock 是一款監控工具，可通過自動掃描、檢測和阻止網絡威脅來增強網站的安全性。

4.使用 Web 應用程序防火牆（WAF）

Web 應用程序防火牆通常被認為是行業首選，可幫助組織保護其 Web 應用程序免受惡意行為者和網絡攻擊。它的工作是幫助您過濾和監控 HTTP/HTTPS 流量，以識別進出您的網站 /Web 應用程序的任何異常活動。

WAF 可以幫助您：

• 識別流量激增和下降，
• 觀察流量來自哪裏，以及
• 幫助您阻止不良機器人流量。

這對於幫助您識別和緩解分佈式拒絕服務 (DDoS) 攻擊非常有用。

但不要認為僅使用 WAF 就足夠了；使用此工具應該是更大的網絡安全策略的一部分。

不確定您的網站或網絡應用程序是否需要 WAF？問自己幾個簡單的問題：

• 您是否通過網絡應用程序收集客户的個人數據？
• 您的組織從事電子商務活動嗎？
• 您想要更清楚地瞭解您的流量嗎？
• 您希望能夠幫助識別和阻止 DDoS 攻擊嗎？

如果這些問題中任何一個的答案是“是”，那麼您應該使用 Web 應用程序防火牆。

5.監控您的網站日誌（自動化工具可以提供幫助）

網站和網絡應用程序監控對於每個網站的安全都至關重要。但我們明白了；監控數字資產的日誌就像修剪腳趾甲一樣有吸引力。這是一項你並不真正想做的任務，但是，好吧，必須有人來做。

同樣，網站日誌提供與訪問請求、更改、錯誤以及安全事件和事件相關的大量信息。但現實情況是，它們會生成大量數據，幾乎不可能手動完成。（誰有時間？）

正如您可以想象的那樣，這些工具會產生大量的“噪音”。值得慶幸的是，有一些自動日誌分析工具可以幫助您收集和理解所有類型的數據。

維護最新的網站安全工具和插件（主要針對 WordPress 網站管理員）

您的網站使用 WordPress 嗎？如果您像 W3Techs 估計的 43% 的網站一樣，那麼您的答案是肯定的。如果是這樣，以下部分的討論要點將主要適用於您。

6. 確保您使用的是主機客户端的最新軟件版本

無論您使用哪種主機管理軟件（例如，用於共享主機的 cPanel、Plesk、DirectAdmin），請確保您的服務器運行最新版本。如果不是，那麼您需要升級到最新版本的界面。

應用系統補丁和更新使軟件開發人員能夠修復現在和 / 或將來可能給您帶來問題的任何漏洞或問題。因此，與任何軟件一樣，請確保您的軟件版本儘可能保持最新。

7.安裝來自受信任（信譽良好）的開發者和發行商的插件

如果您是 WordPress 網站管理員，您可能非常熟悉 WordPress 插件、主題和其他附加組件。插件可以滿足並簡化各種需求和任務，提供靈活性和定製機會。

然而，缺點是，如果開發人員沒有仔細管理和更新這些工具，安裝這些工具可能會增加攻擊面。（稍後會詳細介紹。）使用保護不力和過時的網站插件會在網站的防禦中產生原本可能不存在的漏洞。

正是由於這些原因（以及其他原因），如果您決定使用第三方插件和主題，您應該只選擇來自定期更新其產品的信譽良好的開發人員 / 發行商的插件和主題。在決定使用哪個插件之前，請務必閲讀評論並通過其他來源進行研究。

8.使所有主題和插件保持最新

WPScan 報告稱，其數據庫中 94% 的漏洞都是插件。據瞭解，跨站點腳本 (XSS) 攻擊者會使用易受攻擊的插件將惡意代碼注入 WordPress 網站。根據嚴重程度，這種類型的攻擊可以使壞人完全接管您的網站。 

由於這些原因（以及我們在最後兩節中提到的原因），您必須保持主題和插件最新。這樣做既是行業最佳實踐，也是防止威脅行為者利用您網站上的漏洞的方法。

這在 WordPress 中非常簡單。在 WordPress 儀表板的左側導航欄中，單擊“插件”，它將顯示一個頁面，其中列出了所有已安裝的插件（包括活動的和停用的）。在這裏，您可以手動更新、激活和停用插件，或啓用自動更新。 注意：如果插件存在漏洞但尚未更新，您將不會在此處看到它。這也是定期（每日）進行漏洞掃描至關重要的另一個原因。

對於主題，只需查看左側導航欄中的“更新”選項並向下滾動即可。如果任何主題需要更新，它會告訴您，並且只需單擊兩次即可選擇更新它們。 

安全訪問您的管理儀表板和其他敏感資源

9. 嚴格控制分配的管理權限和訪問權限

好的，我們已經完成了回答以下問題的方法列表的一半：“如何確保我的網站安全？” 現在，請跟着我重複一遍：並非每個想要訪問的人都需要訪問。

僅僅因為員工想要對您的網站、數據庫或其他相關資源進行管理員訪問，就應該擁有它。只能在最低級別授予訪問權限。這就是最小特權原則（PoLP，或也稱為最小特權模型）背後的想法。

例如，對網站管理儀表板的訪問權限應僅限於那些在其角色中需要它的個人。應根據各個員工的工作職責和他們期望完成的任務來授予訪問權限。就是這樣。只需給予他們完成工作所需的絕對最低權限即可。

這意味着，負責撰寫和發佈博客文章的營銷專家可能不需要與需要處理網站根目錄的網絡開發人員相同級別的訪問權限。同樣的想法也適用於訪問您的服務器和其他敏感資源。請務必小心確保僅將管理員權限分配給角色需要這些權限的人員。

10. 要求使用安全、唯一的密碼（和密碼管理器）

雖然這看起來很簡單，但實踐強大的密碼安全性是您可以讓員工瞭解的最重要的一點之一。這是因為您員工的帳户（以及他們接觸的所有內容）的安全性取決於他們用於訪問帳户的憑據。

如果他們的密碼是從其他帳户回收的，或者如果它們是幾乎可以在任何違規列表中找到的常用密碼，那麼就您網站的安全而言，它們毫無用處。

我們看到了一個醜陋的例子，基因檢測公司 23andMe 在數據泄露後指責客户，稱他們正在重複使用在其他第三方數據泄露中受到損害的登錄憑據。

設置密碼要求並根據泄露 / 被破壞的密碼和常用密碼的已知數據庫檢查輸入至關重要。這樣，如果您的銷售團隊中的 Sam 嘗試將其密碼更改為已被識別為已泄露的密碼，您可以這樣做，以便他必須將其輸入更改為其他密碼。（注意：不要告訴用户該密碼已被使用，這會泄露太多信息。相反，應告知用户他們的密碼選擇無效，並讓他們重新輸入新密碼。我們將詳細介紹稍後再説。）

此外，花時間向用户介紹所有帳户的密碼安全最佳實踐，包括其網站登錄憑據。本主題應包括有關安全存儲密碼的對話（即，將它們保存在密碼管理工具中，而不是將它們存儲在便利貼上）。

11.實施零信任流程和程序

零信任背後的想法是，你永遠不會自動信任任何東西或任何人，並且必須始終驗證一切。（這一切都與持續身份驗證有關。）實際上，每個公司都應該以這種方法為目標，以保護其網絡和整體 IT 基礎設施的安全。但這如何應用於您的網站呢？

當涉及到保護對網站的管理訪問時，請依靠數字身份驗證和身份驗證方法，而不僅僅是傳統的用户名密碼組合。那麼，當您嘗試以管理員身份登錄您的網站時，有哪些方法可以幫助您驗證某人的數字身份呢？

實施人工驗證安全措施（MFA、CAPTCHA 等）

消除不良機器人流量和暴力攻擊者的第一步是實施多重身份驗證 (MFA)、驗證碼 / reCAPTCHA 或等效替代方案，例如 Cloudflare Turnstile。

讓我們快速回顧一下這些工具的用途：

• 多重身份驗證- 這些工具要求用户通過更復雜的方法證明其身份，從而為身份驗證過程增加了另一層安全性。例如，您必須知道密碼並擁有一部能夠接收來自身份驗證應用程序（例如 Google Authenticator 或 Okta）的推送通知的手機。
• CAPTCHA 或 reCAPTCHA — 這些自動化安全機制要求您做一些事情來證明您是真人而不是機器人才能進行身份驗證。例如，您可能必須挑選圖片、單擊機器人、回答數學問題、解決難題或以其他方式參與。
• Cloudflare Turnstile — 這種驗證碼技術的替代方案運行 JavaScript 挑戰，檢測人類行為並在後台涉及密鑰和令牌。這種機制不需要用户解決任何謎題或以類似的方式參與。

要求管理員使用安全連接

一點 CYA 對企業總是有幫助的——尤其是在我們這個訴訟日益頻繁的世界。作為一個組織，您可以做的事情之一就是建立公司內部政策，涵蓋每個員工都應遵守的既定行為和標準。

例如，當員工登錄其工作設備時，您可以設置一個確認屏幕，傳達他們必須確認才能訪問設備的設定行為和標準。

在您記錄的程序中，請務必指定在訪問安全數字資產和系統（包括您網站的管理儀表板）時，授權用户必須始終使用安全的加密連接。以下是實現此目的的兩種方法：

1. 要求辦公室員工通過公司的安全以太網進行連接，或者
2. 要求遠程工作的用户使用基於 PKI 客户端身份驗證證書的安全 VPN 連接。

您還可以將此作為員工在招聘和僱用流程中必須閲讀、承認並同意遵守的政策之一。

12. 限制無效登錄嘗試

對於瞭解如何保護網站來説這是一個大問題。如果您不希望人們試圖強行進入，防止他們這樣做的一個很好的安全措施是設置帳户鎖定閾值。例如，您可以將其設置為任何用户嘗試輸入密碼的次數不得超過三次。之後，該賬户將被鎖定一段指定時間（10 分鐘、3 小時、24 小時等）。

這種方法有助於防止攻擊者使用猜測的用户名-密碼組合釋放腳本，以暴力方式進入您的網站。出於同樣的原因，這也有利於撞庫和其他類似的攻擊。

13.使用允許列表和阻止列表來限制對管理控件的訪問

允許列表（以前稱為白名單）和阻止列表（以前稱為黑名單）是網站管理員可以精細控制對其數字資產的訪問的工具。它們可用於多種場景，包括網站白名單和電郵帳户。

對於網站，白名單通常依賴於用户的 IP 地址。例如，您可以使用白名單將網站特定部分（例如登錄頁面）的訪問權限限制為僅允許一個或多個指定用户通過將其 IP 地址包含在白名單中。

同樣，您可以使用阻止列表來阻止特定用户訪問您網站的部分內容。

想象一下這樣一個場景：您在一個受限制的封閉社區購買了一套漂亮的房子。

• 如果您希望只有某些人可以進入房屋，您可以向社區的安全團隊提供允許進入的授權用户列表（白名單）。
• 如果您不想讓某人進入您的新住所，您可以向門口的警衞提供該人的信息。該人將被禁止訪問該財產（黑名單）。

使用允許列表時，您可以將默認訪問設置設置為拒絕，從而排除未明確註明 IP 地址的任何人。但是如何使用它來僅允許來自指定 IP 地址的連接呢？

• 安裝啓用白名單 / 黑名單功能的插件（適用於 WordPress 用户）。
• 更新站點的.htaccess文件以列出特定 IP 地址。（注意：這隻能由經驗豐富的網站管理員來完成。）
• 設置防火牆規則以強制執行您的白名單。

14.使用加鹽來提高存儲的密碼哈希值的安全性

如果您的網站允許用户通過創建用户名和密碼登錄，那麼本部分適合您。密碼加鹽是數據庫安全中的一種重要做法，用於保護存儲的密碼相關詳細信息。您永遠不想在數據庫中存儲明文密碼，因為它們很容易通過哈希表和彩虹表攻擊而受到損害。相反，您應該存儲的是加鹽密碼哈希值。

此過程涉及獲取輸入（即明文密碼）並在應用加密哈希函數之前向其添加鹽（隨機的、唯一的數據字符串）。這會生成一個唯一的密碼哈希值，您可以使用它來代替明文密碼。

讓我們想象一下使用密碼Password123和鹽值+Oa8kFpYobjX： 

密碼 123 + +Oa8kFpYobjX = e72fd887c202a4367b8a96d42d1a1e10

即使兩個用户使用相同的密碼，當在應用哈希函數之前向其添加唯一的鹽值時，每個用户的密碼得到的哈希值將完全不同。

不要泄露太多信息

保護您的賬户相關信息就像玩撲克一樣：您需要保守秘密，不要讓其他玩家知道您的計劃。同樣，當涉及到帳户安全時，您不想在錯誤響應消息中泄露太多信息。

例如，當用户嘗試使用錯誤的密碼登錄網站時，經常會看到一條消息返回，指出他們輸入了錯誤的密碼。雖然從表面上看，這似乎是標準響應，但這種方法可能會降低網站的安全性，因為它為網絡犯罪分子提供了可用於撞庫攻擊的有用信息。

例如，如果您明確指定密碼不正確，那麼它會讓他們知道用户名是正確的。然後，他們可以使用該用户名並嘗試不同的密碼組合，直到成功。    

實施數據庫強化技術

15. 對數據庫的安全訪問（物理和遠程）

您的網站和數據庫是獨立的，但相互關聯的數字資產必須受到保護。網站使用數據庫作為各種內容（例如網站副本、圖形、視頻媒體等）的後端存儲和管理系統。他們依靠數據庫來存儲可以檢索並顯示給用户的數據，而無需將所有內容直接硬編碼在網站上。 

強大的數據庫安全性允許對數據進行授權訪問，同時仍然保持數據庫本身的機密性、完整性和可用性 (CIA)。

您可以使用物理安全措施 - 鎖定數據庫服務器、使用 ID 卡實施安全訪問、安裝攝像頭等。但是，如果您的數據庫不在本地，該怎麼辦？然後，至少使用單獨的數據庫供內部和外部使用。要求授權用户通過 VPN 使用基於客户端身份驗證的安全連接來連接到您的數據庫。請記住：僅向角色需要訪問權限的人員授予訪問權限！ 

16. 保護您的 Web 應用程序和表單免受常見數據庫攻擊

還記得我們提到過壞人總是尋找最簡單的切入點嗎？其中一種方法是在您網站的 Web 應用程序中搜索他們可以利用的 SQL 注入缺陷。使數據庫更安全地抵禦 SQL 攻擊技術的一些方法包括：

• 使用參數化數據庫查詢
• 清理網絡應用程序輸入
• 保持後端組件（庫、框架、數據庫軟件等）最新

查看我們的其他資源，詳細瞭解如何保護您的 Web 應用程序和數據庫免受 SQL 注入。

17. 使用自定義端口幫助減少日誌混亂並限制自動攻擊

網絡犯罪分子喜歡瞄準“容易實現的目標”，即網絡安全機制過時、蹩腳或不存在的網站和數據庫，這已不是什麼秘密。為什麼？因為它們很容易挑選。這就相當於鯊魚瞄準了一隻受傷的海豹，而不是一隻可以反擊的健康、身體健全的海豹。

使用默認端口號是壞人容易利用的機會之一。端口允許信息在網站和連接到該網站的瀏覽器之間流動。例如，安全外殼 (SSH) 協議常用的端口是端口 22。例如，IONOS 建議將其更改為“1024 到 65536”範圍之間的端口。根據 IANA TCP 和 UDP 端口號分配指南，“眾所周知的端口由 IANA 分配，範圍為 0-1023”，因此最好避免將它們用於部署或產品發佈。

簡而言之，從默認端口號更改為自定義端口號是一種通過模糊性創建安全層的方法。

然而，值得注意的是，端口掃描本身在技術上並不是一種威脅。這是一種偵察方法，可為攻擊者提供可用來對付您的信息。雖然更改端口號並不能阻止壞人決心找出您正在使用的端口，但它可以消除大量掃描默認端口的傢伙、女孩和機器人。那麼，為什麼不關閉該窗口，不讓攻擊者有機會“進入”您的網站或 Web 服務呢？ 

要確定要使用的端口號，請查看互聯網號碼分配機構 (IANA) 的服務名稱和傳輸協議端口號註冊表，以瞭解哪些號碼不用於其他服務。

關於如何確保網站安全的最終要點

過去，潛在客户可以在黃頁中查找您的廣告和列表，或者遵循家人和朋友的推薦。雖然口碑仍然發揮着至關重要的作用，但您的網站通常為客户提供了您公司的第一印象。

這就是為什麼擁有一個信息豐富、有用、性能良好且安全的網站很重要。沒有人（包括我自己）喜歡收到他們所使用的網站或服務已被泄露的公司的通知。如果您現在就採取措施使您的網站、網絡應用程序和其他數字資產儘可能安全，您就可以避免導致未來泄露的陷阱和安全問題。

我們希望您發現這篇文章內容豐富且有用。對於如何保護網站還有其他見解和建議嗎？在下面的評論中分享它們。