幾乎每天都有關(guān)于最新被黑網(wǎng)站的新聞報(bào)道。大多數(shù)人認(rèn)為這永遠(yuǎn)不會發(fā)生在他們身上——除非真的發(fā)生。在任何給定的時(shí)間點(diǎn)，黑客都可能會檢查您的網(wǎng)站是否有任何他們可以妥協(xié)的東西，以便使用您的網(wǎng)站和/或服務(wù)器進(jìn)行他們的邪惡活動。如果您不想成為他們策略的犧牲品，那么執(zhí)行網(wǎng)站安全審核至關(guān)重要。在我們談?wù)?a href="http://m.qzkangyuan.com/tag/%e7%bd%91%e7%ab%99%e5%ae%89%e5%85%a8" target="_blank">網(wǎng)站安全審計(jì)之前，讓我們看看您的網(wǎng)站是如何被入侵的。這將使您了解您所面臨的問題以及監(jiān)控您的網(wǎng)站的重要性。

6種最常見的攻擊形式

惡意軟件感染

最常見的威脅是惡意軟件，是一個(gè)涵蓋病毒、蠕蟲、特洛伊木馬、勒索軟件、間諜軟件等的總稱。惡意軟件可以刪除您的所有數(shù)據(jù)、竊取客戶信息、感染您的訪問者——可能性幾乎是無窮無盡的。

分布式拒絕服務(wù) (DDoS)

DDoS 攻擊可以通過 大量自動流量壓倒您的站點(diǎn)。您的網(wǎng)站每關(guān)閉一分鐘，您就會失去客戶和銷售。

蠻力

這是應(yīng)用程序循環(huán)遍歷所有可能的密碼組合的地方，直到找到一個(gè)有效的密碼組合。從那里，黑客可以訪問您的系統(tǒng)，竊取敏感數(shù)據(jù)，并為所欲為。

注射

由于存在注入漏洞，黑客將惡意數(shù)據(jù)作為命令或查詢的一部分發(fā)送，誘使網(wǎng)站做一些不該做的事情，例如向黑客提供您的整個(gè)客戶數(shù)據(jù)庫。

跨站腳本

通常縮寫為XSS，跨站點(diǎn)腳本 將用戶提供的數(shù)據(jù)發(fā)送到 Web 瀏覽器，而無需先對其進(jìn)行驗(yàn)證。黑客利用這些缺陷將用戶從網(wǎng)站上劫走或破壞網(wǎng)站，使網(wǎng)站所有者失去業(yè)務(wù)。

零日

這是一種在發(fā)現(xiàn)新漏洞、補(bǔ)丁可用之前立即發(fā)起的攻擊。雖然這些是無法預(yù)測的，但您可以投資購買網(wǎng)站應(yīng)用程序防火墻 (WAF) ，它會在零日攻擊 被披露后立即 修補(bǔ)您的網(wǎng)站。

重要的是要積極主動并制定流程來保護(hù)您的網(wǎng)站。

許多人做出了錯(cuò)誤的假設(shè)，即僅僅因?yàn)樗麄兛赡軟]有“數(shù)據(jù)”，他們就不值得黑客攻擊。但事實(shí)并非如此。每個(gè)網(wǎng)站都充滿了腳本，并由準(zhǔn)備運(yùn)行新腳本的服務(wù)器支持，這些腳本可以在您不知情的情況下上傳。

黑客每天都在攻擊網(wǎng)站，無論大小或平臺如何。

通過執(zhí)行網(wǎng)站安全審核，您可以通過識別可能受到威脅的漏洞來保護(hù)您的網(wǎng)站。 在您注意到 Google在搜索結(jié)果中將您的網(wǎng)站標(biāo)記為存在惡意軟件之前，最好將其扼殺在萌芽狀態(tài)。當(dāng)您瘋狂地尋找 可以雇用的人來恢復(fù)和清理您的網(wǎng)站時(shí)，就會出現(xiàn)直覺層面的恐慌。

如何進(jìn)行網(wǎng)站安全審計(jì)

根據(jù)您的設(shè)置和基礎(chǔ)設(shè)施，網(wǎng)站安全審計(jì)可能會變得非常技術(shù)性。今天，我們將介紹您可以自己做的基礎(chǔ)知識，以確保您的網(wǎng)站沒有為黑客掛出的“歡迎”標(biāo)志。

1. 更新您的腳本和應(yīng)用程序

確保您的所有腳本和應(yīng)用程序（例如 WordPress 和插件）都是最新的和最新的。有關(guān) WordPress 特定強(qiáng)化的更多信息，請閱讀“如何保護(hù)您的 WordPress 網(wǎng)站”。當(dāng)您收到可用更新的通知時(shí)，請留出時(shí)間盡快更新。黑客尋求過時(shí)的版本以利用最新版本更正的漏洞。

2.確保您的域和IP是干凈的

檢查您的域和 IP 是否干凈且未列入黑名單。MxToolbox 是快速檢查的絕佳選擇。由于IP 阻止列表通常不受單一來源管理，因此您可能需要聯(lián)系幾個(gè)地方才能刪除阻止列表（假設(shè)您被阻止）。

3.使用強(qiáng)密碼

它可能會讓人覺得很容易，但強(qiáng)密碼是必須的。對于您的個(gè)人用戶帳戶、其他用戶的帳戶、托管儀表板和 FTP 訪問——所有這些都需要安全。忘記寵物和配偶的名字，看在上帝的份上，不要使用“密碼”。越難越好。考慮使用密碼生成器工具 來提供一些好的工具。

4.刪除廢棄的用戶賬號

刪除任何廢棄的用戶帳戶，并且永遠(yuǎn)不要共享登錄憑據(jù)。始終為新用戶創(chuàng)建登錄名，然后您可以在不再需要時(shí)撤銷這些登錄名。以下是如何安全地共享用戶對 WordPress 網(wǎng)站的訪問權(quán)限。

5. 添加 SSL

你有 SSL嗎？如果不是，為什么不呢？SSL 將加密 網(wǎng)站訪問者的瀏覽器和您的網(wǎng)站之間的數(shù)據(jù)。如果您有用戶登錄并且實(shí)際上存儲了敏感的用戶數(shù)據(jù)，這一點(diǎn)尤其重要。然而，SSL 不僅僅適用于電子商務(wù)網(wǎng)站 ——它現(xiàn)在是所有網(wǎng)站的標(biāo)準(zhǔn)操作程序。

6.使用SSH

FTP到您的服務(wù)器時(shí)始終使用 SSH 。SSH 到底是什么？據(jù)開發(fā)它的公司稱，SSH 通信安全：

“SSH 協(xié)議（也稱為 Secure Shell）是一種從一臺計(jì)算機(jī)安全遠(yuǎn)程登錄到另一臺計(jì)算機(jī)的方法。它為強(qiáng)身份驗(yàn)證提供了多種替代選項(xiàng)，并通過強(qiáng)加密保護(hù)了通信的安全性和完整性。它是不受保護(hù)的登錄協(xié)議（例如 telnet、rlogin）和不安全的文件傳輸方法（例如 FTP）的安全替代方案。”

您最不想看到的就是有人攔截您的登錄憑據(jù)，然后用他們的方式訪問您的服務(wù)器！

7. 運(yùn)行安全掃描

對您的網(wǎng)站運(yùn)行安全掃描。Sucuri 的 SiteCheck 掃描器將檢查您的網(wǎng)站是否存在已知惡意軟件、阻止列表狀態(tài)、網(wǎng)站錯(cuò)誤和過期軟件。或者，您可以跳上游戲，使用 GoDaddy 的網(wǎng)站安全功能進(jìn)行惡意軟件掃描和刪除。

很容易，對吧？不要讓其他日常業(yè)務(wù)任務(wù)掩蓋運(yùn)行網(wǎng)站安全掃描的重要性。以上并不是萬能的技巧——只是基礎(chǔ)知識——但如果你定期執(zhí)行這些技巧，你的網(wǎng)站將會更加安全。

持續(xù)的安全解決方案

惡意軟件不會休息一天。在您進(jìn)行檢查并獲得干凈的健康證明后的第二天，您的網(wǎng)站可能會被感染。這就是為什么像GoDaddy 的網(wǎng)站安全這樣的服務(wù) 會為您處理所有這一切，只需支付少量月費(fèi)。

將您的網(wǎng)站安全置于自動駕駛儀上，可以讓您有時(shí)間來工作您的網(wǎng)站和經(jīng)營您的業(yè)務(wù)。

使用為您進(jìn)行所有日常監(jiān)控的服務(wù)將最大限度地減少任何潛在的停機(jī)時(shí)間。借助惡意軟件預(yù)防和刪除以及谷歌黑名單監(jiān)控和刪除的額外好處，這確實(shí)是一件輕而易舉的事。它還包括：

持續(xù)掃描和刪除。GoDaddy 將每天掃描您的網(wǎng)站。不僅在客戶可能被感染的前端，而且在服務(wù)器級別，感染可能會花費(fèi)您寶貴的資源。

高級安全監(jiān)控。惡意軟件并不是威脅您網(wǎng)站的唯一因素。GoDaddy 將監(jiān)控相關(guān)服務(wù)（DNS、WHOIS、SSL），以確保訪問者不會被重定向到另一個(gè)站點(diǎn)或被誘騙提供他們的私人信息。

惡意軟件預(yù)防。在惡意軟件有機(jī)會感染您的網(wǎng)站之前阻止它。GoDaddy 的 Web 應(yīng)用程序防火墻 (WAF) 攔截并檢查所有傳入數(shù)據(jù)并自動刪除任何惡意代碼。

無論您決定做什么，請做出適合您的日程安排并確保您的網(wǎng)站安全的選擇。如果您有時(shí)間執(zhí)行定期備份，那就太好了。如果沒有，自動化服務(wù)可能是您最好的選擇。無論哪種方式，您的商業(yè)聲譽(yù)和客戶都取決于它！