7招提升网站安全性,小心贪小便宜吃大亏

 2019-11-24 18:57:31  1603 浏览  0 评论   赞

上篇:什么样的主机质量好,很简单不要贪便宜就可以了;https协议可以有效的防止传输的数据被窃听;及时从网站模板的官方网站下载补丁,修补漏洞

7招提升网站安全性,小心贪小便宜吃大亏

图425-1:网站安全

随着互联网的普及,人们每天留在互联网中的时间越来越多,人们能够用互联网做的事情也越来越多,对于违法分子来说,从互联网中窃取信息获利的空间越来越大,专业的黑客组织或者个人越来越多的参与到对网站的攻击中来,不管是以破坏为目的的DDOS攻击,还是以窃取信息为目的的暴库攻击,受害的网站越来越多。

随着互联网知识的普及,人们对互联网的认识不断的增加,攻击网站变得不像过去那样的高深莫测,一个具备一定计算机知识的人,通过短时间的专业化学习,就可以利用一些简单的网站漏洞进行攻击,网站攻击人员的年龄呈现越来越小的趋势,从过去的计算机专业人士慢慢的向计算机业余人士的方向进行转变,这无疑壮大了黑客的群体,网站面临的威胁越来越严重。

随着网站脚本的升级,不断地涌现出一些新技术,这些新技术不可避免的会携带有大量的bug,每一次的技术升级都会产生一些新的功能函数,这些函数如果没有经过严格的检测,当不法分子传递给这些函数精心构造的参数时,函数就可能向着意想不到的方向运行,意外的计算结果可能会给黑客有机可乘。

随着网站脚本复杂度的上升,从概率的角度来说,必然导致可能的bug越来越多,网站的脚本越来越复杂,于是一些封装的脚本开始出现,这些封装的脚本是公开的,使用的数量越多,越容易被人关注,暴露漏洞的可能性越大,一旦暴露之后,产生的效果也越严重。另一方面封装的脚本往往会有一些默认参数,如果编程人员没有对这些脚本进行仔细研究,事实上很少有人会研究这些封装的脚本,脚本中的这些默认参数极有可能被黑客利用,并对网站产生严重的后果。

这里通过两篇文章,从7个角度说一说提升网站安全性的方法。

质量好的主机

质量好的主机_7招提升网站安全性,小心贪小便宜吃大亏

图425-2:1元主机

网站安全的第一步无疑是网站的主机,什么样的主机好,从技术上说这个问题的答案很难获得,因为服务器提供商一般不会提供服务器安全方面的介绍,不过也不要紧,服务器好坏与价格是直接相关的,一般来说价格高的服务器,在安全方面做的也不错,所以网站主机的价格只要合理,主机的质量也不会差到哪里去。网站主机的好坏可以从两个方面进行说明。

1、主机本身的安全性。主机本身是否具有较好的安全性能,其实说到底安全性体现在主机操作系统的设置、安全软件的类型上面,黑客攻击是普遍存在的,防攻击方面做得好不好直接影响到用户的使用效果。举个例子来说,以前使用过的一个香港的服务器,使用了云清洗平台,当服务器受到类似DDOS这样的攻击时,云清洗平台能够迅速进行识别,然后将这些攻击ip的请求进行过滤,将非攻击的ip请求传导到网站的服务器中,这样即使服务器受到了攻击,网站也能够正常的打开。

2、其它网站的类型。一个服务器上通常有多个网站,如果其中一个网站遭到攻击并且服务器死机,很显然服务器上面的所有网站都将打不开。因此服务器中其它网站遭受到攻击,也可能导致自己的网站受到影响。在黑客攻击中有一门技术叫旁注,当你攻击的网站发现无法攻陷时,可以查查同一个服务器的其它网站,有时候可以通过其它的网站获取到相关的信息,进而实现对目标网站的攻击。

https协议

https协议_7招提升网站安全性,小心贪小便宜吃大亏

图425-3:数说棱镜

有人可能会想,我的网站采用了https协议,所有的数据都是加密的,黑客就不能对我的网站进行攻击,这种想法是错误的,虽然数据本身是加密的,但是在数据的两端仍旧是明码的,也就是说黑客如果想对一个经过https加密的网站进行攻击,只要自己的攻击软件携带ssl协议就可以了。

那么https协议的意义在哪里,意义就在于传输的数据不会被窃取,因为数据在传输过程中是加密的,因此在传输中途的数据被窃取后是加密的,而且不能被解密。还记得几年前的美国棱镜门事件吗,美国在电信运营商的节点中加入窃听装置,所有在网线中传输的数据都会被窃取。这个事件成为了https普及的契机,大量的网站采用https协议进行传输,这样可以防止其他人在中途窃取你的数据,不管是文字、图片,还是其它什么数据。

及时打补丁

及时打补丁_7招提升网站安全性,小心贪小便宜吃大亏

图425-4:网站漏洞类型分布

大量的网站采用的是现成的网站模板,免费的模板我们就不说了,那种东西作者不会花时间和精力去制作补丁,收费的模板往往会不断地推出补丁程序。在大多数时候官方之所以推出补丁,是因为第三方发现了模板中的问题,然后这个问题被官方知晓,然后才制作补丁修复这个问题。第三方发现的补丁会出现两种情况,如果是白帽黑客,那么他会将漏洞提交到官方,并且不会外传,如果是黑帽黑客,那他就不会好心,自己利用漏洞攻击网站,或者将漏洞制作成为工具进行出售,只有当事件闹大了之后才会被官方知晓,进而出来补丁程序。

不管补丁推出来之前,漏洞是否已经被黑客利用,及时给自己的网站打补丁是很重要的。在大量公开的攻击网站的教程或者新闻中,受到攻击的网站往往是因为没有更新补丁程序造成的,一般来说付费的模板一旦爆出漏洞,官方能够在极短的时间内推出补丁程序,这个时期漏洞的知晓度还不高,受到攻击的网站也不多。

还有一类使用免费模板的网站,一旦模板爆出漏洞,并且网站受到了攻击,往往就无能为力了,因为一般使用免费模板的网站都是小网站,这样的网站也不太可能会聘请专业人士来修补漏洞。在几个月前的文章中,我曾经爆出过一个网站受到攻击的介绍,网站中被强行插入了广告,直到今天这个网站中的广告依旧存在,网站的内容每天都有更新,站长不可能这么长时间都没有发现,我估计站长已经看到了网站被植入广告,但是不知道如何修补漏洞。

本文介绍提升网站安全性的前面三点,在下一篇文章中介绍剩下的四点。

本系列的2篇文章:

  1. 7招提升网站安全性,小心贪小便宜吃大亏
  2. 避免网站被黑客攻击的7个方法,数据备份是最后一招

转载请注明:网创网 www.netcyw.cn/b425.html

()
发表评论
  • 昵称
  • 网址
(0) 个小伙伴发表了自己的观点
    暂无评论

Copyright © 2018-2022 小王子工作室 版权所有 滇ICP备14007766号-3 邮箱:yangzy187@126.com