如果网站所有者没有采取措施提高他们的在线安全以保护他们的博客和网站免受黑客保护他们的博客和网站的具体原因,通常是因为他们相信两件事之一:

  1. 他们不相信他们的网站或博客对黑客的价值有任何价值
  2. 他们不相信他们曾经被黑客被砍成了

这两个心态都与您应该考虑网站安全的方式完全相反。未能采取仅仅是基本步骤来保护您的网站对抗黑客意味着您以及您的客户的身份盗窃和欺诈的风险。

帮助确保这一点 永远不会发生在你身上,我们将谈论您现在可以从黑客免受黑客保护您的网站的六种最简单的方法。

在采取这些步骤的同时,不会保证您的网站或博客永远不会被黑客入侵,但它将最不显着降低它发生的风险:

1 - 防止您的网站免受SQL注入

一个  SQL注入攻击 是黑客使用URL参数来操纵数据库,从而访问您的网站。

如果您目前正在使用标准的Transact SQL,您也是成为SQL注入攻击的受害者的严重风险,因为黑客键入Rogue代码非常容易进入查询,以获得对数据和信息的访问权限。

要停止发生这种情况,您需要使用参数化查询,这是简单的实现,因为大多数Web语言都有它。

例如,常见的查询看起来像这样:

SELECT * FROM table WHERE column - ‘ “ + parameter + “ ‘ ;

为了防止黑客在此语句的末尾添加查询,您需要参数化。

您可以通过将其更改为这样的方式执行此操作:

$stmt = $pdo->prepare(‘SELECT * FROM table WHERE column = :value’); $stmt->execute(array(‘value’ => $parameter));

从2015年到2016年,被黑客网站的数量 增加了32%。这就是为什么你需要立即采取行动,并屏蔽SQL注入应该是您所采取的第一个安全操作之一。

2 - 安装安全套接字层

添加a的最佳方式 安全套接字层(SSL) 到您的网站将是使用HTTPS,这是一种协议,允许您在计算机网络上发送安全通信,并确保没有入侵者将能够利用您的内容。

这意味着用户将能够在提交财务信息或登录详细信息时安全地浏览您的网站。

出于这个原因,你永远 想要使用https 在您的网站页面上,用户将提交其敏感信息,例如登录详细信息或信用卡信息。否则,如果黑客窃取它,他们将能够模仿用户。

此外,启用HTTPS还将有助于使您的网站更明显,因为Google将在使用HTTPS的搜索引擎排名中提升网站。

3 - 防范XSS攻击

xss或 跨站脚本,攻击与其他类型的攻击相比(例如我们之前谈过的SQL注射),因为它们旨在攻击应用程序或服务器的用户而不是应用程序或服务器本身。

黑客通过将恶意JavaScript代码注入Web应用程序的输出来完成此操作。他们可以将此恶意代码注入搜索字段,论坛,评论部分和cookie中。这些区域中的任何一个都很容易受到跨站点脚本的影响。

通过安装恶意代码,黑客将能够收集Cookie数据,这些数据可能包含敏感的用户信息,例如他们的信用卡号,会话ID和登录信息。

防范XSS攻击的最佳方法将为您的Web应用程序使用高级SDL或安全开发生命周期。 SDL的目的只是限制应用程序中的编码错误的数量。

您可以做的其他事情是让用户在访问您网站上的某些页面之前重新输入密码。即使您的用户有一个cookie,它会自动将其记录到您的网站上,您仍然应该让它们必须再次重新输入他们的登录信息。这将大大减少XSS攻击的机会。

4 - 观看您的电子邮件传输端口

用于访问您的信息的黑客的主要目标不会是您的实际网站,而是您的电子邮件。

你有没有问过自己,你认为你的电子邮件传输是多少?

好消息是,有一种快速简便的方法来弄清楚你的传输是如何安全的。

转到您的电子邮件设置以查看您正在通信的端口。

如果您通过IMAP端口143,POP3端口110或SMTP端口25端口进行通信,则无法保护您的电子邮件传输。

另一方面,如果您正在通过IMAP端口993,POP3端口995或SMTP端口465进行通信,则可以保护您的电子邮件,因为这些端口通过加密安全。

5 - 不要允许文件上传(或至少非常可疑)

您始终通过首先允许文件上传到您的网站来占据主要风险。无论上传的文件多么无害,它可能包含一个脚本,可以打开您的网站到黑客。

甚至允许用户上传图像或头像可能是安全风险。如果您确实有一个允许文件上传的表单,那么您需要 用怀疑来对待每个上传的文件。您无法相信文件扩展程序以验证文件是否上传了,因为图像可以伪造。例如,任何图像格式都允许存储可包含恶意PHP代码的注释部分。

这里最好的解决方案是停止直接访问您的网站上的任何上传的文件。发生这种情况时,将存储到您的网站上的任何文件都将存储在外部文件夹中。然后,您可以在将其传送到浏览器之前,创建脚本以在私有文件夹中查找这些文件。

此外,如果要允许上传的文件,则要使用像SSH或SFTP等最安全的传输方法。它也明智地在与Web服务器不同的服务器上运行数据库。

如果使用云托管,许多提供程序具有唯一的环境,允许基于访问者的位置进行许可或拒绝文件上传,如其IP地址所确定的。

您可以阻止来自特定国家的上传,说中国和伊朗,同时允许其他一切。或者相反,您可以从任何IP地址阻止上传,除了源自白名单的Geos - 例如美国,U.K.,加拿大等。

就个人而言,我发现简单地停止直接访问我网站上的任何文件上传和/或上传文件更有效。屏蔽IP地址是儿童的播放,就像有的话一样 vpn评论 会证明。大多数领先的虚拟专用网络提供商能够贴上近乎确定的IP地址。此外,无宽容政策通常是保持恶意文件的最佳解决方案(并帮助我在夜间更好地睡觉)。

6 - 投资网站漏洞扫描仪

最后,您也可以投资 网站漏洞扫描仪 这将识别您网站中的技术缺点,包括将易受SQL注入的弱点以及许多其他人之间的攻击。

选择要使用的网站漏洞扫描仪时,您需要查找几个关键功能。

例如,重要的是,您的扫描仪将涵盖超出常见型跨的漏洞,例如跨站点脚本。扫描仪应该覆盖的较少常见漏洞的一个例子无法安全地保护目录。

您的扫描仪在很长一段时间内保持相关的问题也是至关重要的,因此它应该连续更新,以及最近的已知漏洞。这意味着扫描仪应该有一个非常合格的团队,在幕后工作,以保持网络罪犯领先。

最后,密切关注可扩展性,特别是如果您有数百个您需要覆盖的应用程序。

结论

总之,这些是您可以将网站安全免于黑客的六种最简单且有效的方法。

同样,这些方法无法保证您的网站的安全性,但它们将使它们能够明显更安全,而且对黑客的吸引力不如之前,这就是重要的。

 

 

Source://www.acunetix.com/blog/