行業新聞與部落格

如何確保我的網站安全?基本指南

瞭解如何確保網站安全可能是與網站使用者分享正面訊息和必須通知他們資料已被洩露之間的區別。  

每個網站所有者都應該瞭解某些事情,其中非常重要的一點是如何確保您的網站安全(或者至少儘可能安全)。我們在這裡提供的指導可以作為一些人的快速複習,也可以作為其他人探索的教育指南。

讓我們來討論一下。

如何確保您的網站安全(17 種方法)

讓我們直接回答您想知道的問題:“如何確保我的網站安全?”

使用公鑰加密技術發揮您的優勢

1. 安裝可保護您的主域(和任何子域)的 SSL/TLS 憑證

考慮到我們是 SSL 商店,我們列表中的首要專案是網站安全憑證也就不足為奇了。然而,我們這樣做的原因並不純粹是有偏見的。在您的網站上使用有效的 SSL/TLS 憑證:

  • 是使用公鑰加密保護傳輸中資料安全的行業最佳實踐。
  • 提高您網站的 Google 搜尋引擎排名。
  • 幫助遵守行業資料安全和隱私法律法規。
  • 透過數字信任支援您的品牌聲譽和在客戶中的地位。

當資料以明文形式傳輸時,很容易受到中間人 (MitM) 攻擊。這意味著壞人可以檢視並竊取敏感資料(信用卡、銀行帳戶資訊、使用者名稱和密碼等),並用於實施犯罪。他們還可以注入惡意內容並造成許多其他問題。

如何確保網站安全的列表中的下一項與第一項密切相關......   

2. 使用自動化仔細管理您的 PKI 數字資產以避免停機

如果您的網站或 Web 應用程式上的 SSL/TLS 憑證已過期、已撤銷或無效,則意味著您(和您公司的客戶支援團隊)的日子會很糟糕。當憑證無效時,您的網站、應用程式和客戶將遇到停機或服務中斷。

像這樣的停機會給客戶留下對您公司的壞印象,破壞關係並導致銷售和收入損失。

檢視我們的其他相關文章,瞭解有關過期憑證的更多資訊:

  • 當您的 SSL 憑證過期時會發生這種情況
  • 您的安全憑證已過期:修復方法如下(3 個步驟)
使用自動化來簡化您的憑證管理任務

如果您想讓自己更輕鬆地完成這些任務,請考慮使用憑證管理自動化工具。這些工具旨在讓您能夠全面瞭解網路以及遍佈其中的加密資產,從而使憑證管理變得更加輕鬆。

  1. 想知道您擁有哪些憑證以及它們位於何處?完畢。
  2. 它們何時發行或將過期怎麼樣?一點也不麻煩。
  3. 知道誰負責管理它們怎麼樣?易如反掌。

3.使用值得信賴的安全掃描工具定期掃描您的網站

理想情況下,您應該使用日常網站掃描程式來識別漏洞和其他必須解決的漏洞利用機會。使用網站掃描工具可以幫助您查詢和識別網站上可能存在的漏洞和惡意軟體。

SiteLock 是一款監控工具,可透過自動掃描、檢測和阻止網路威脅來增強網站的安全性。

4.使用 Web 應用程式防火牆(WAF)

Web 應用程式防火牆通常被認為是行業首選,可幫助組織保護其 Web 應用程式免受惡意行為者和網路攻擊。它的工作是幫助您過濾和監控 HTTP/HTTPS 流量,以識別進出您的網站 /Web 應用程式的任何異常活動。

WAF 可以幫助您:

  • 識別流量激增和下降,
  • 觀察流量來自哪裡,以及
  • 幫助您阻止不良機器人流量。

這對於幫助您識別和緩解分散式拒絕服務 (DDoS) 攻擊非常有用。

但不要認為僅使用 WAF 就足夠了;使用此工具應該是更大的網路安全策略的一部分。

不確定您的網站或網路應用程式是否需要 WAF?問自己幾個簡單的問題:

  • 您是否透過網路應用程式收集客戶的個人資料?
  • 您的組織從事電子商務活動嗎?
  • 您想要更清楚地瞭解您的流量嗎?
  • 您希望能夠幫助識別和阻止 DDoS 攻擊嗎?

如果這些問題中任何一個的答案是“是”,那麼您應該使用 Web 應用程式防火牆。

5.監控您的網站日誌(自動化工具可以提供幫助)

網站和網路應用程式監控對於每個網站的安全都至關重要。但我們明白了;監控數字資產的日誌就像修剪腳趾甲一樣有吸引力。這是一項你並不真正想做的任務但是,好吧,必須有人來做

同樣,網站日誌提供與訪問請求、更改、錯誤以及安全事件和事件相關的大量資訊。但現實情況是,它們會生成大量資料,幾乎不可能手動完成。(誰有時間?)

正如您可以想象的那樣,這些工具會產生大量的“噪音”。值得慶幸的是,有一些自動日誌分析工具可以幫助您收集和理解所有型別的資料。

維護最新的網站安全工具和外掛(主要針對 WordPress 網站管理員)

您的網站使用 WordPress 嗎?如果您像 W3Techs 估計的 43% 的網站一樣,那麼您的答案是肯定的。如果是這樣,以下部分的討論要點將主要適用於您。

6. 確保您使用的是主機客戶端的最新軟體版本

無論您使用哪種主機管理軟體(例如,用於共享主機的 cPanel、Plesk、DirectAdmin),請確保您的伺服器執行最新版本。如果不是,那麼您需要升級到最新版本的介面。

應用系統補丁和更新使軟體開發人員能夠修復現在和 / 或將來可能給您帶來問題的任何漏洞或問題。因此,與任何軟體一樣,請確保您的軟體版本儘可能保持最新。

7.安裝來自受信任(信譽良好)的開發者和發行商的外掛

如果您是 WordPress 網站管理員,您可能非常熟悉 WordPress 外掛、主題和其他附加元件。外掛可以滿足並簡化各種需求和任務,提供靈活性和定製機會。

然而,缺點是,如果開發人員沒有仔細管理和更新這些工具,安裝這些工具可能會增加攻擊面。(稍後會詳細介紹。)使用保護不力和過時的網站外掛會在網站的防禦中產生原本可能不存在的漏洞。

正是由於這些原因(以及其他原因),如果您決定使用第三方外掛和主題,您應該只選擇來自定期更新其產品的信譽良好的開發人員 / 發行商的外掛和主題。在決定使用哪個外掛之前,請務必閱讀評論並透過其他來源進行研究。

8.使所有主題和外掛保持最新

WPScan 報告稱,其資料庫中 94% 的漏洞都是外掛。據瞭解,跨站點指令碼 (XSS) 攻擊者會使用易受攻擊的外掛將惡意程式碼注入 WordPress 網站。根據嚴重程度,這種型別的攻擊可以使壞人完全接管您的網站。 

由於這些原因(以及我們在最後兩節中提到的原因),您必須保持主題和外掛最新。這樣做既是行業最佳實踐,也是防止威脅行為者利用您網站上的漏洞的方法。

這在 WordPress 中非常簡單。在 WordPress 儀表板的左側導航欄中,單擊“外掛”,它將顯示一個頁面,其中列出了所有已安裝的外掛(包括活動的和停用的)。在這裡,您可以手動更新、啟用和停用外掛,或啟用自動更新。 注意:如果外掛存在漏洞但尚未更新,您將不會在此處看到它。這也是定期(每日)進行漏洞掃描至關重要的另一個原因。

對於主題,只需檢視左側導航欄中的“更新”選項並向下滾動即可。如果任何主題需要更新,它會告訴您,並且只需單擊兩次即可選擇更新它們。 

安全訪問您的管理儀表板和其他敏感資源

9. 嚴格控制分配的管理許可權和訪問許可權

好的,我們已經完成了回答以下問題的方法列表的一半:“如何確保我的網站安全?” 現在,請跟著我重複一遍:並非每個想要訪問的人都需要訪問。

僅僅因為員工想要對您的網站、資料庫或其他相關資源進行管理員訪問,就應該擁有它。只能在最低級別授予訪問許可權。這就是最小特權原則(PoLP,或也稱為最小特權模型)背後的想法。

例如,對網站管理儀表板的訪問許可權應僅限於那些在其角色中需要它的個人。應根據各個員工的工作職責和他們期望完成的任務來授予訪問許可權。就是這樣。只需給予他們完成工作所需的絕對最低許可權即可。

這意味著,負責撰寫和釋出部落格文章的營銷專家可能不需要與需要處理網站根目錄的網路開發人員相同級別的訪問許可權。同樣的想法也適用於訪問您的伺服器和其他敏感資源。請務必小心確保僅將管理員許可權分配給角色需要這些許可權的人員。

10. 要求使用安全、唯一的密碼(和密碼管理器)

雖然這看起來很簡單,但實踐強大的密碼安全性是您可以讓員工瞭解的最重要的一點之一。這是因為您員工的帳戶(以及他們接觸的所有內容)的安全性取決於他們用於訪問帳戶的憑據。

如果他們的密碼是從其他帳戶回收的,或者如果它們是幾乎可以在任何違規列表中找到的常用密碼,那麼就您網站的安全而言,它們毫無用處。

我們看到了一個醜陋的例子,基因檢測公司 23andMe 在資料洩露後指責客戶,稱他們正在重複使用在其他第三方資料洩露中受到損害的登入憑據。

設定密碼要求並根據洩露 / 被破壞的密碼和常用密碼的已知資料庫檢查輸入至關重要。這樣,如果您的銷售團隊中的 Sam 嘗試將其密碼更改為已被識別為已洩露的密碼,您可以這樣做,以便他必須將其輸入更改為其他密碼。(注意:不要告訴使用者該密碼已被使用,這會洩露太多資訊。相反,應告知使用者他們的密碼選擇無效,並讓他們重新輸入新密碼。我們將詳細介紹稍後再說。)

此外,花時間向用戶介紹所有帳戶的密碼安全最佳實踐,包括其網站登入憑據。本主題應包括有關安全儲存密碼的對話(即,將它們儲存在密碼管理工具中,而不是將它們儲存在便利貼上)。

11.實施零信任流程和程式

零信任背後的想法是,你永遠不會自動信任任何東西或任何人,並且必須始終驗證一切。(這一切都與持續身份驗證有關。)實際上,每個公司都應該以這種方法為目標,以保護其網路和整體 IT 基礎設施的安全。但這如何應用於您的網站呢?

當涉及到保護對網站的管理訪問時,請依靠數字身份驗證和身份驗證方法,而不僅僅是傳統的使用者名稱密碼組合。那麼,當您嘗試以管理員身份登入您的網站時,有哪些方法可以幫助您驗證某人的數字身份呢?

實施人工驗證安全措施(MFA、CAPTCHA 等)

消除不良機器人流量和暴力攻擊者的第一步是實施多重身份驗證 (MFA)、驗證碼 / reCAPTCHA 或等效替代方案,例如 Cloudflare Turnstile。

讓我們快速回顧一下這些工具的用途:

  • 多重身份驗證- 這些工具要求使用者透過更復雜的方法證明其身份,從而為身份驗證過程增加了另一層安全性。例如,您必須知道密碼並擁有一部能夠接收來自身份驗證應用程式(例如 Google Authenticator 或 Okta)的推送通知的手機。
  • CAPTCHA 或 reCAPTCHA — 這些自動化安全機制要求您做一些事情來證明您是真人而不是機器人才能進行身份驗證。例如,您可能必須挑選圖片、單擊機器人、回答數學問題、解決難題或以其他方式參與。
  • Cloudflare Turnstile — 這種驗證碼技術的替代方案執行 JavaScript 挑戰,檢測人類行為並在後臺涉及金鑰和令牌。這種機制不需要使用者解決任何謎題或以類似的方式參與。
要求管理員使用安全連線

一點 CYA 對企業總是有幫助的——尤其是在我們這個訴訟日益頻繁的世界。作為一個組織,您可以做的事情之一就是建立公司內部政策,涵蓋每個員工都應遵守的既定行為和標準。

例如,當員工登入其工作裝置時,您可以設定一個確認螢幕,傳達他們必須確認才能訪問裝置的設定行為和標準。

在您記錄的程式中,請務必指定在訪問安全數字資產和系統(包括您網站的管理儀表板)時,授權使用者必須始終使用安全的加密連線。以下是實現此目的的兩種方法:

  1. 要求辦公室員工透過公司的安全乙太網進行連線,或者
  2. 要求遠端工作的使用者使用基於 PKI 客戶端身份驗證憑證的安全 VPN 連線。

您還可以將此作為員工在招聘和僱用流程中必須閱讀、承認並同意遵守的政策之一。

12. 限制無效登入嘗試

對於瞭解如何保護網站來說這是一個大問題。如果您不希望人們試圖強行進入,防止他們這樣做的一個很好的安全措施是設定帳戶鎖定閾值。例如,您可以將其設定為任何使用者嘗試輸入密碼的次數不得超過三次。之後,該賬戶將被鎖定一段指定時間(10 分鐘、3 小時、24 小時等)。

這種方法有助於防止攻擊者使用猜測的使用者名稱-密碼組合釋放指令碼,以暴力方式進入您的網站。出於同樣的原因,這也有利於撞庫和其他類似的攻擊。

13.使用允許列表和阻止列表來限制對管理控制元件的訪問

允許列表(以前稱為白名單)和阻止列表(以前稱為黑名單)是網站管理員可以精細控制對其數字資產的訪問的工具。它們可用於多種場景,包括網站白名單和電子信箱帳戶。

對於網站,白名單通常依賴於使用者的 IP 地址。例如,您可以使用白名單將網站特定部分(例如登入頁面)的訪問許可權限制為僅允許一個或多個指定使用者透過將其 IP 地址包含在白名單中。

同樣,您可以使用阻止列表來阻止特定使用者訪問您網站的部分內容。

想象一下這樣一個場景:您在一個受限制的封閉社群購買了一套漂亮的房子。

  • 如果您希望只有某些人可以進入房屋,您可以向社群的安全團隊提供允許進入的授權使用者列表(白名單)。
  • 如果您不想讓某人進入您的新住所,您可以向門口的警衛提供該人的資訊。該人將被禁止訪問該財產(黑名單)。

使用允許列表時,您可以將預設訪問設定設定為拒絕,從而排除未明確註明 IP 地址的任何人。但是如何使用它來僅允許來自指定 IP 地址的連線呢?

  • 安裝啟用白名單 / 黑名單功能的外掛(適用於 WordPress 使用者)。
  • 更新站點的.htaccess檔案以列出特定 IP 地址。(注意:這隻能由經驗豐富的網站管理員來完成。)
  • 設定防火牆規則以強制執行您的白名單。

14.使用加鹽來提高儲存的密碼雜湊值的安全性

如果您的網站允許使用者透過建立使用者名稱和密碼登入,那麼本部分適合您。密碼加鹽是資料庫安全中的一種重要做法,用於保護儲存的密碼相關詳細資訊。您永遠不想在資料庫中儲存明文密碼,因為它們很容易透過雜湊表和彩虹表攻擊而受到損害。相反,您應該儲存的是加鹽密碼雜湊值。

此過程涉及獲取輸入(即明文密碼)並在應用加密雜湊函式之前向其新增鹽(隨機的、唯一的資料字串)。這會生成一個唯一的密碼雜湊值,您可以使用它來代替明文密碼。

讓我們想象一下使用密碼Password123和鹽值+Oa8kFpYobjX: 

密碼 123+Oa8kFpYobjX = e72fd887c202a4367b8a96d42d1a1e10

即使兩個使用者使用相同的密碼,當在應用雜湊函式之前向其新增唯一的鹽值時,每個使用者的密碼得到的雜湊值將完全不同。

不要洩露太多資訊

保護您的賬戶相關資訊就像玩撲克一樣:您需要保守秘密,不要讓其他玩家知道您的計劃。同樣,當涉及到帳戶安全時,您不想在錯誤響應訊息中洩露太多資訊。

例如,當用戶嘗試使用錯誤的密碼登入網站時,經常會看到一條訊息返回,指出他們輸入了錯誤的密碼。雖然從表面上看,這似乎是標準響應,但這種方法可能會降低網站的安全性,因為它為網路犯罪分子提供了可用於撞庫攻擊的有用資訊。

例如,如果您明確指定密碼不正確,那麼它會讓他們知道使用者名稱是正確的。然後,他們可以使用該使用者名稱並嘗試不同的密碼組合,直到成功。    

實施資料庫強化技術

15. 對資料庫的安全訪問(物理和遠端)

您的網站和資料庫是獨立的,但相互關聯的數字資產必須受到保護。網站使用資料庫作為各種內容(例如網站副本、圖形、影片媒體等)的後端儲存和管理系統。他們依靠資料庫來儲存可以檢索並顯示給使用者的資料,而無需將所有內容直接硬編碼在網站上。 

強大的資料庫安全性允許對資料進行授權訪問,同時仍然保持資料庫本身的機密性、完整性和可用性 (CIA)。

您可以使用物理安全措施 - 鎖定資料庫伺服器、使用 ID 卡實施安全訪問、安裝攝像頭等。但是,如果您的資料庫不在本地,該怎麼辦?然後,至少使用單獨的資料庫供內部和外部使用。要求授權使用者透過 VPN 使用基於客戶端身份驗證的安全連線來連線到您的資料庫。請記住:僅向角色需要訪問許可權的人員授予訪問許可權! 

16. 保護您的 Web 應用程式和表單免受常見資料庫攻擊

還記得我們提到過壞人總是尋找最簡單的切入點嗎?其中一種方法是在您網站的 Web 應用程式中搜索他們可以利用的 SQL 注入缺陷。使資料庫更安全地抵禦 SQL 攻擊技術的一些方法包括:

  • 使用引數化資料庫查詢
  • 清理網路應用程式輸入
  • 保持後端元件(庫、框架、資料庫軟體等)最新

檢視我們的其他資源,詳細瞭解如何保護您的 Web 應用程式和資料庫免受 SQL 注入。

17. 使用自定義埠幫助減少日誌混亂並限制自動攻擊

網路犯罪分子喜歡瞄準“容易實現的目標”,即網路安全機制過時、蹩腳或不存在的網站和資料庫,這已不是什麼秘密。為什麼?因為它們很容易挑選。這就相當於鯊魚瞄準了一隻受傷的海豹,而不是一隻可以反擊的健康、身體健全的海豹。

使用預設埠號是壞人容易利用的機會之一。埠允許資訊在網站和連線到該網站的瀏覽器之間流動。例如,安全外殼 (SSH) 協議常用的埠是埠 22。例如,IONOS 建議將其更改為“1024 到 65536”範圍之間的埠。根據 IANA TCP 和 UDP 埠號分配指南,“眾所周知的埠由 IANA 分配,範圍為 0-1023”,因此最好避免將它們用於部署或產品釋出。

簡而言之,從預設埠號更改為自定義埠號是一種透過模糊性建立安全層的方法。

然而,值得注意的是,埠掃描本身在技術上並不是一種威脅。這是一種偵察方法,可為攻擊者提供可用來對付您的資訊。雖然更改埠號並不能阻止壞人決心找出您正在使用的埠,但它可以消除大量掃描預設埠的傢伙、女孩和機器人。那麼,為什麼不關閉該視窗,不讓攻擊者有機會“進入”您的網站或 Web 服務呢? 

要確定要使用的埠號,請檢視網際網路號碼分配機構 (IANA) 的服務名稱和傳輸協議埠號登錄檔,以瞭解哪些號碼不用於其他服務。

關於如何確保網站安全的最終要點

過去,潛在客戶可以在黃頁中查詢您的廣告和列表,或者遵循家人和朋友的推薦。雖然口碑仍然發揮著至關重要的作用,但您的網站通常為客戶提供了您公司的第一印象。

這就是為什麼擁有一個資訊豐富、有用、效能良好且安全的網站很重要。沒有人(包括我自己)喜歡收到他們所使用的網站或服務已被洩露的公司的通知。如果您現在就採取措施使您的網站、網路應用程式和其他數字資產儘可能安全,您就可以避免導致未來洩露的陷阱和安全問題。

我們希望您發現這篇文章內容豐富且有用。對於如何保護網站還有其他見解和建議嗎?在下面的評論中分享它們。

需要幫助嗎?聯絡我們的支援團隊 線上客服