确保你的网站安全归根结底只是 2 重要的功能。
1 不要有安全漏洞。
你的网站只有在存在已知或可识别的安全缺陷时才会被黑。很少有人在创建网站或安装插件时知道会导致网站被黑。很少有开发者明知故犯地制造安全缺陷,那么安全漏洞是如何在我们的网站上出现的呢?
安全是一场猫捉老鼠的游戏。数以百万计的软件开发人员每天都在创造新的代码。有些代码有安全漏洞,有些则被放在生产服务器上。最终,有人发现了一个漏洞。在你的网站被随机攻击和补丁被开发并安装在你的服务器上之间的竞赛开始了。
有超过3.5亿个活跃的网站,任何人都不可能找到每一个易受攻击的网站来入侵。大多数网站都不可能成为目标。这就是为什么黑客编写程序来为他们做这件事。一台服务器可以在大约两个月内扫描3.5亿个网站。而在云端运行60台服务器是如此简单;任何想要的黑客都可以在一天内搜索整个互联网并破坏每一个脆弱的系统。
要利用你网站上的一个已知漏洞,黑客只需赢得这场比赛一次。为了保证你的网站安全,你必须每次都赢得这场比赛。最终,即使是自动修补的网站也会输掉这场比赛,因为黑客会利用未知和未报告的漏洞。
2 识别黑客的企图并阻止他们。
网站安全软件试图识别黑客攻击的企图。这很难,因为许多攻击,如上传恶意文件,使用合法的网络功能--只是由未经授权的用户进行。防火墙几乎不可能分辨出其中的差别。因此,网站防火墙为每个新发现的安全缺陷创建签名。这使我们与打补丁一样处于与时间赛跑的状态。
几乎不可能识别所有可能的 "坏 "网络流量。这就是为什么这么多安装了安全软件的网站继续遭受破坏性的网站黑客和重定向攻击。
99% 所有的网络黑客都使用自动化工具,针对互联网上的随机网站。正确地识别自动请求可以阻止几乎所有的网站黑客。
有2种类型的流量是我们必须允许的。网络浏览器(使用chrome、firefox、safari等的访问者)和网络爬虫,如Google-bot、Bing-bot、SEO-Moz,以及其他有用的机器人。每个请求都有一个独特的用户代理,以识别它。这个用户代理可以很容易地被设置为任何东西,而绝不会被设置为 "邪恶的黑客机器人"。
我们需要一种方法来验证User-Agent。像这样的工具 比特火 can do this for you. 比特火 sends a complicated JavaScript code that only a real browser can run to verify real web browsers. 比特火 also verifies Web robots by their source network, e.g., GoogleBot来自google.com,BingBot,来自microsoft.com,等等。
这2项保护措施允许我们所有的移动和桌面客户以及优秀的机器人访问我们的网站。通过只允许经过验证的客户,我们防止任何黑客工具访问网站。
Find out the best tricks and tips to secure your website.
From us to your inbox weekly.