在如今數(shù)字時代，網(wǎng)站安全對于任何企業(yè)或個人都是至關(guān)重要的。無論是商業(yè)網(wǎng)站、博客還是社交媒體平臺，保護用戶信息和網(wǎng)站數(shù)據(jù)的安全性是首要任務(wù)。那么如何確保網(wǎng)站安全呢？本文將為你介紹確保網(wǎng)站安全的17種方法，以幫助提升網(wǎng)站的安全性，保護自己和用戶的利益。

一、使用公鑰加密技術(shù)發(fā)揮您的優(yōu)勢

1、安裝可保護您的主域（和任何子域）的SSL/TLS證書

在您的網(wǎng)站上使用有效的SSL/TLS證書：

• ·是使用公鑰加密保護傳輸中數(shù)據(jù)安全的行業(yè)最佳實踐。
• ·提高您網(wǎng)站的Google等搜索引擎的排名。
• ·幫助遵守行業(yè)數(shù)據(jù)安全和隱私法律法規(guī)。
• ·通過數(shù)字信任支持您的品牌聲譽和在客戶中的地位。

當數(shù)據(jù)以明文形式傳輸時，很容易受到中間人 (MitM) 攻擊。這意味著黑客可以查看并竊取敏感數(shù)據(jù)（信用卡、銀行帳戶信息、用戶名和密碼等），并用于實施犯罪。他們還可以注入惡意內(nèi)容并造成許多其他問題。

如何確保網(wǎng)站安全的列表中的下一項與第一項密切相關(guān)。  

2、使用自動化管理您的PKI數(shù)字資產(chǎn)以避免服務(wù)中斷

如果您的網(wǎng)站或Web應(yīng)用程序上的SSL/TLS證書已過期、已撤銷或無效，則意味著您的網(wǎng)站、應(yīng)用程序和客戶將遇到停機或服務(wù)中斷。

例如，如果您的網(wǎng)站使用無效的SSL/TLS證書，您的客戶可能會看到以下類型的消息：

如果您的網(wǎng)站使用過期的網(wǎng)站安全證書，情況可能如下（在Google Chrome中）：

使用自動化來簡化您的證書管理任務(wù)

如果您想讓自己更輕松地完成這些任務(wù)，請考慮使用證書管理自動化工具。這些工具旨在讓您能夠全面了解網(wǎng)絡(luò)以及遍布其中的加密資產(chǎn)，從而使證書管理變得更加輕松。

3、使用值得信賴的安全檢測工具定期檢測您的網(wǎng)站

理想情況下，您應(yīng)該使用日常網(wǎng)站掃描程序來識別漏洞和其他必須解決的問題。使用網(wǎng)站監(jiān)測工具可以幫助您查找和識別網(wǎng)站上可能存在的問題。

SiteLock是一款監(jiān)控工具，可通過自動掃描、檢測和阻止網(wǎng)絡(luò)威脅來增強網(wǎng)站的安全性。

4、使用Web應(yīng)用程序防火墻（WAF）

Web應(yīng)用程序防火墻通常被認為是行業(yè)首選，可幫助組織保護其Web應(yīng)用程序免受惡意行為者和網(wǎng)絡(luò)攻擊。它的工作是幫助您過濾和監(jiān)控HTTP/HTTPS流量，以識別進出您的網(wǎng)站/Web 應(yīng)用程序的任何異?；顒印AF可以幫助您識別流量激增和下降，觀察流量來自哪里，以及幫助您阻止不良機器人流量。這對于幫助您識別和緩解DDoS攻擊非常有用。

但不要認為僅使用WAF就足夠了；使用此工具應(yīng)該是更大的網(wǎng)絡(luò)安全策略的一部分。不確定您的網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序是否需要 WAF？問自己幾個簡單的問題：

• 您是否通過網(wǎng)絡(luò)應(yīng)用程序收集客戶的個人數(shù)據(jù)？
• 您的組織從事電子商務(wù)活動嗎？
• 您想要更清楚地了解您的流量嗎？
• 您希望能夠幫助識別和阻止DDoS攻擊嗎？

如果這些問題中任何一個的答案是“是”，那么您應(yīng)該使用Web應(yīng)用程序防火墻。

5、監(jiān)控您的網(wǎng)站日志（自動化工具可以提供幫助）

網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控對于每個網(wǎng)站的安全都至關(guān)重要。

同樣，網(wǎng)站日志提供與訪問請求、更改、錯誤以及安全事件和事件相關(guān)的大量信息。但現(xiàn)實情況是，它們會生成大量數(shù)據(jù)，幾乎不可能手動完成。 

正如您可以想象的那樣，這些工具會產(chǎn)生大量的“噪音”。值得慶幸的是，有一些自動日志分析工具可以幫助您收集和理解所有類型的數(shù)據(jù)。

二、維護最新的網(wǎng)站安全工具/插件（主要針對WordPress網(wǎng)站管理員）

您的網(wǎng)站使用WordPress嗎？如果苕，以下部分的討論要點將主要適用于您。

6、確保您使用的是主機客戶端的最新軟件版本

無論您使用哪種主機管理軟件（例如，用于共享主機的cPanel、Plesk、DirectAdmin），請確保您的服務(wù)器運行最新版本。如果不是，那么您需要升級到最新版本的界面。

應(yīng)用系統(tǒng)補丁和更新使軟件開發(fā)人員能夠修復(fù)現(xiàn)在和/或?qū)砜赡芙o您帶來問題的任何漏洞或問題。因此，與任何軟件一樣，請確保您的軟件版本盡可能保持最新。

例如，如果您是cPanel用戶，登錄后，您可以通過向下滾動到儀表板底部來了解您正在使用的軟件版本：

7、安裝來自受信任的開發(fā)者和發(fā)行商的插件

如果您是WordPress網(wǎng)站管理員，您可能非常熟悉WordPress插件、主題和其他附加組件。插件可以滿足并簡化各種需求和任務(wù)，提供靈活性和定制機會。

然而，缺點是，如果開發(fā)人員沒有仔細管理和更新這些工具，安裝這些工具可能會增加攻擊面。使用保護不力和過時的網(wǎng)站插件會在網(wǎng)站的防御中產(chǎn)生原本可能不存在的漏洞。

正是由于這些原因（以及其他原因），如果您決定使用第三方插件和主題，您應(yīng)該只選擇來自定期更新其產(chǎn)品的信譽良好的開發(fā)人員/發(fā)行商的插件和主題。在決定使用哪個插件之前，請務(wù)必閱讀評論并通過其他來源進行研究。

8、使所有主題和插件保持最新

WPScan報告稱，其數(shù)據(jù)庫中94%的漏洞都是插件。據(jù)了解，跨站點腳本 (XSS) 攻擊者會使用易受攻擊的插件將惡意代碼注入WordPress網(wǎng)站。根據(jù)嚴重程度，這種類型的攻擊可以使壞人完全接管您的網(wǎng)站。 

由于這些原因，您必須保持主題和插件最新。這樣做既是行業(yè)最佳實踐，也是防止威脅行為者利用您網(wǎng)站上的漏洞的方法。

這在WordPress中非常簡單。在 WordPress 儀表板的左側(cè)導航欄中，單擊“插件”，它將顯示一個頁面，其中列出了所有已安裝的插件（包括活動的和停用的）。在這里，您可以手動更新、激活和停用插件，或啟用自動更新。 

注意：如果插件存在漏洞但尚未更新，您將不會在此處看到它。這也是定期（每日）進行漏洞掃描至關(guān)重要的另一個原因。

對于主題，只需查看左側(cè)導航欄中的“更新”選項并向下滾動即可。如果任何主題需要更新，它會告訴您，并且只需單擊兩次即可選擇更新它們。

三、安全訪問您的管理儀表板和其他敏感資源

9、嚴格控制分配的管理權(quán)限和訪問權(quán)限

好的，我們已經(jīng)完成了回答以下問題的方法列表的一半：“如何確保我的網(wǎng)站安全？”現(xiàn)在，請跟著我重復(fù)一遍：并非每個想要訪問的人都需要訪問。

僅僅因為員工想要對您的網(wǎng)站、數(shù)據(jù)庫或其他相關(guān)資源進行管理員訪問，就應(yīng)該擁有它。只能在最低級別授予訪問權(quán)限。這就是最小特權(quán)原則（PoLP，或也稱為最小特權(quán)模型）背后的想法。

例如，對網(wǎng)站管理儀表板的訪問權(quán)限應(yīng)僅限于那些在其角色中需要它的個人。應(yīng)根據(jù)各個員工的工作職責和他們期望完成的任務(wù)來授予訪問權(quán)限。就是這樣。只需給予他們完成工作所需的絕對最低權(quán)限即可。

這意味著，負責撰寫和發(fā)布博客文章的營銷專家可能不需要與需要處理網(wǎng)站根目錄的網(wǎng)絡(luò)開發(fā)人員相同級別的訪問權(quán)限。同樣的想法也適用于訪問您的服務(wù)器和其他敏感資源。請務(wù)必小心確保僅將管理員權(quán)限分配給角色需要這些權(quán)限的人員。

下面是一個簡單示例，展示了在WordPress博客中按角色為用戶分配訪問權(quán)限時的情況：

10、要求使用安全、唯一的密碼（和密碼管理器）

雖然這看起來很簡單，但實踐強大的密碼安全性是您可以讓員工了解的最重要的一點之一。這是因為您員工的帳戶（以及他們接觸的所有內(nèi)容）的安全性取決于他們用于訪問帳戶的憑據(jù)。

如果他們的密碼是從其他帳戶回收的，或者如果它們是幾乎可以在任何違規(guī)列表中找到的通用密碼，那么就您網(wǎng)站的安全而言，它們毫無用處。

我們看到了一個反例，基因檢測公司23andMe 在數(shù)據(jù)泄露后指責客戶，稱他們正在重復(fù)使用在其他第三方數(shù)據(jù)泄露中受到損害的登錄憑據(jù)。

設(shè)置密碼要求并根據(jù)泄露/被破壞的密碼和常用密碼的已知數(shù)據(jù)庫檢查輸入至關(guān)重要。

這樣，如果您的銷售團隊中的Sam嘗試將其密碼更改為已被識別為已泄露的密碼，您可以這樣做，以便他必須將其輸入更改為其他密碼。 

（注意：不要告訴用戶該密碼已被使用，這會泄露太多信息。相反，應(yīng)告知用戶他們的密碼選擇無效，并讓他們重新輸入新密碼。）

此外，花時間向用戶介紹所有帳戶的密碼安全最佳實踐，包括其網(wǎng)站登錄憑據(jù)。本主題應(yīng)包括有關(guān)安全存儲密碼的對話（即，將它們保存在密碼管理工具中，而不是將它們存儲在便利貼上）。

11、實施零信任流程和程序

零信任背后的想法是，你永遠不會自動信任任何東西或任何人，并且必須始終驗證一切。（這一切都與持續(xù)身份驗證有關(guān)。）

實際上，每個公司都應(yīng)該以這種方法為目標，以保護其網(wǎng)絡(luò)和整體IT基礎(chǔ)設(shè)施的安全。但這如何應(yīng)用于您的網(wǎng)站呢？

當涉及到保護對網(wǎng)站的管理訪問時，請依靠數(shù)字身份驗證和身份驗證方法，而不僅僅是傳統(tǒng)的用戶名密碼組合。那么，當您嘗試以管理員身份登錄您的網(wǎng)站時，有哪些方法可以幫助您驗證某人的數(shù)字身份呢？

實施人工驗證安全措施（MFA、CAPTCHA等）

消除不良機器人流量和暴力攻擊者的第一步是實施多重身份驗證 (MFA)、驗證碼/reCAPTCHA或等效替代方案，例如Cloudflare Turnstile。

讓我們快速回顧一下這些工具的用途：

• 多重身份驗證——這些工具要求用戶通過更復(fù)雜的方法證明其身份，從而為身份驗證過程增加了另一層安全性。例如，您必須知道密碼并擁有一部能夠接收來自身份驗證應(yīng)用程序（例如Google Authenticator或Okta）的推送通知的手機。
• CAPTCHA或reCAPTCHA——這些自動化安全機制要求您做一些事情來證明您是真人而不是機器人才能進行身份驗證。例如，您可能必須挑選圖片、單擊機器人、回答數(shù)學問題、解決難題或以其他方式參與。
• Cloudflare Turnstile——這種驗證碼技術(shù)的替代方案運行 JavaScript 挑戰(zhàn)，檢測人類行為并在后臺涉及密鑰和令牌。這種機制不需要用戶解決任何謎題或以類似的方式參與。

當您在WordPress上啟用Cloudflare Turnstile或數(shù)學驗證碼并且有人嘗試使用錯誤的密碼登錄時，情況如下：

要求管理員使用安全連接

作為一個組織，您可以做的事情之一就是建立公司內(nèi)部政策，涵蓋每個員工都應(yīng)遵守的既定行為和標準。

例如，當員工登錄其工作設(shè)備時，您可以設(shè)置一個確認屏幕，傳達他們必須確認才能訪問設(shè)備的設(shè)定行為和標準。

在您記錄的程序中，請務(wù)必指定在訪問安全數(shù)字資產(chǎn)和系統(tǒng)（包括您網(wǎng)站的管理儀表板）時，授權(quán)用戶必須始終使用安全的加密連接。以下是實現(xiàn)此目的的兩種方法：

要求辦公室員工通過公司的安全以太網(wǎng)進行連接，或者要求遠程工作的用戶使用基于 PKI客戶端身份驗證證書的安全 VPN 連接。

12、限制無效登錄嘗試

對于了解如何保護網(wǎng)站來說這是一個大問題。如果您不希望人們試圖強行進入，防止他們這樣做的一個很好的安全措施是設(shè)置帳戶鎖定閾值。例如，您可以將其設(shè)置為任何用戶嘗試輸入密碼的次數(shù)不得超過三次。之后，該賬戶將被鎖定指定時間（10分鐘、3小時、24小時等）。

這種方法有助于防止攻擊者使用猜測的用戶名——密碼組合釋放腳本，以暴力方式進入您的網(wǎng)站。出于同樣的原因，這也有利于撞庫和其他類似的攻擊。

13、使用允許列表和阻止列表來限制對管理控件的訪問

允許列表（以前稱為白名單）和阻止列表（以前稱為黑名單）是網(wǎng)站管理員可以精細控制對其數(shù)字資產(chǎn)的訪問的工具。它們可用于多種場景，包括網(wǎng)站白名單和電子郵件帳戶。

對于網(wǎng)站，白名單通常依賴于用戶的IP地址。例如，您可以使用白名單將網(wǎng)站特定部分（例如登錄頁面）的訪問權(quán)限限制為僅允許一個或多個指定用戶通過將其IP地址包含在白名單中。

同樣，您可以使用阻止列表來阻止特定用戶訪問您網(wǎng)站的部分內(nèi)容。

想象一下這樣一個場景：您在一個受限制的封閉社區(qū)購買了一套漂亮的房子。

如果您希望只有某些人可以進入房屋，您可以向社區(qū)的安全團隊提供允許進入的授權(quán)用戶列表（白名單）。

如果您不想讓某人進入您的新住所，您可以向門口的警衛(wèi)提供該人的信息。該人將被禁止訪問該財產(chǎn)（黑名單）。

使用允許列表時，您可以將默認訪問設(shè)置設(shè)置為拒絕，從而排除未明確注明IP地址的任何人。但是如何使用它來僅允許來自指定IP地址的連接呢？

14、使用加鹽來提高存儲的密碼哈希值的安全性

如果您的網(wǎng)站允許用戶通過創(chuàng)建用戶名和密碼登錄，那么本部分適合您。密碼加鹽是數(shù)據(jù)庫安全中的一種重要做法，用于保護存儲的密碼相關(guān)詳細信息。

您永遠不想在數(shù)據(jù)庫中存儲明文密碼，因為它們很容易通過哈希表和彩虹表攻擊而受到損害。相反，您應(yīng)該存儲的是加鹽密碼哈希值。

此過程涉及獲取輸入（即明文密碼）并在應(yīng)用加密哈希函數(shù)之前向其添加鹽（隨機的、唯一的數(shù)據(jù)字符串）。這會生成一個唯一的密碼哈希值，您可以使用它來代替明文密碼。

讓我們想象一下使用密碼Password123和鹽值+Oa8kFpYobjX： 

即使兩個用戶使用相同的密碼，當在應(yīng)用哈希函數(shù)之前向其添加唯一的鹽值時，每個用戶的密碼得到的哈希值將完全不同。

四、實施數(shù)據(jù)庫強化技術(shù)

15、對數(shù)據(jù)庫的安全訪問（物理和遠程）

您的網(wǎng)站和數(shù)據(jù)庫是獨立的，但相互關(guān)聯(lián)的數(shù)字資產(chǎn)必須受到保護。網(wǎng)站使用數(shù)據(jù)庫作為各種內(nèi)容（例如網(wǎng)站副本、圖形、視頻媒體等）的后端存儲和管理系統(tǒng)。他們依靠數(shù)據(jù)庫來存儲可以檢索并顯示給用戶的數(shù)據(jù)，而無需將所有內(nèi)容直接硬編碼在網(wǎng)站上。 

強大的數(shù)據(jù)庫安全性允許對數(shù)據(jù)進行授權(quán)訪問，同時仍然保持數(shù)據(jù)庫本身的機密性、完整性和可用性 (CIA)。

您可以使用物理安全措施——鎖定數(shù)據(jù)庫服務(wù)器、使用ID卡實施安全訪問、安裝攝像頭等。但是，如果您的數(shù)據(jù)庫不在本地，該怎么辦？然后，至少使用單獨的數(shù)據(jù)庫供內(nèi)部和外部使用。

要求授權(quán)用戶通過VPN使用基于客戶端身份驗證的安全連接來連接到您的數(shù)據(jù)庫。請記?。簝H向角色需要訪問權(quán)限的人員授予訪問權(quán)限！ 

16、保護您的Web應(yīng)用程序和表單免受常見數(shù)據(jù)庫攻擊

還記得我們提到過黑客總是尋找最簡單的切入點嗎？其中一種方法是在您網(wǎng)站的Web應(yīng)用程序中搜索他們可以利用的SQL注入缺陷。使數(shù)據(jù)庫更安全地抵御SQL攻擊技術(shù)的一些方法包括：

• 使用參數(shù)化數(shù)據(jù)庫查詢
• 清理網(wǎng)絡(luò)應(yīng)用程序輸入
• 保持后端組件（庫、框架、數(shù)據(jù)庫軟件等）最新

17、使用自定義端口幫助減少日志混亂并限制自動攻擊

網(wǎng)絡(luò)犯罪分子喜歡瞄準“容易實現(xiàn)的目標”，即網(wǎng)絡(luò)安全機制過時、蹩腳或不存在的網(wǎng)站和數(shù)據(jù)庫，這已不是什么秘密。為什么？因為它們很容易挑選。這就相當于鯊魚瞄準了一只受傷的海豹，而不是一只可以反擊的健康、身體健全的海豹。

使用默認端口號是壞人容易利用的機會之一。端口允許信息在網(wǎng)站和連接到該網(wǎng)站的瀏覽器之間流動。例如，安全外殼 (SSH) 協(xié)議常用的端口是端口 22。例如，IONOS建議將其更改為“1024 到 65536”范圍之間的端口。根據(jù)IANA TCP和UDP端口號分配指南，“眾所周知的端口由IANA 分配，范圍為0-1023”，因此最好避免將它們用于部署或產(chǎn)品發(fā)布。

簡而言之，從默認端口號更改為自定義端口號是一種通過模糊性創(chuàng)建安全層的方法。

然而，值得注意的是，端口掃描本身在技術(shù)上并不是一種威脅。這是一種偵察方法，可為攻擊者提供可用來對付您的信息。

要確定要使用的端口號，請查看互聯(lián)網(wǎng)號碼分配機構(gòu) (IANA) 的服務(wù)名稱和傳輸協(xié)議端口號注冊表，了解哪些號碼不用于其他服務(wù)。

五、關(guān)于如何確保網(wǎng)站安全的最終要點

雖然口碑仍然發(fā)揮著至關(guān)重要的作用，但您的網(wǎng)站通常為客戶提供了您公司的第一印象。

這就是為什么擁有一個信息豐富、有用、性能良好且安全的網(wǎng)站很重要。沒有人喜歡收到他們所使用的網(wǎng)站或服務(wù)已被泄露的公司的通知。如果您現(xiàn)在就采取措施使您的網(wǎng)站、網(wǎng)絡(luò)應(yīng)用程序和其他數(shù)字資產(chǎn)盡可能安全，您就可以避免導致未來泄露的陷阱和安全問題。

來源｜The SSL Store
編輯｜公鑰密碼開放社區(qū)
重要聲明：本文來自公鑰密碼開放社區(qū)，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點，轉(zhuǎn)載的目的在于傳遞更多知識和信息。