賈維斯的智慧工坊

  • Home
  • About
  • Note
  • Project
  • Experience
  • Service
  • Sitemap


MY | NOTES

  1. 首頁
    2. >
  2. 筆記
    3. >
  3. 網頁設計

如何避免被駭?用7個方法提升網站安全

協助大家修補幾個常見的網站安全性缺陷
May, 2021


不管你是有一個 Shopify 電商網站,還是一個網上個人簡介或一個網誌來幫助你推銷你的商品和服務,這個網站都是你在網路世界生存的關鍵。因此,你必需好好地保護它,就像你保護你其他的有形財產一樣。

不幸的是,駭客和網路罪犯也因運而生。有些人想竊取資訊,插入惡意軟件,破壞你的網站或劫持你的網站並向你索取贖金。這將是一個嚴重的問題,尤其如果這個網站是你收入的一大來源。

但別驚慌,我們在這文章裡為你提供了一個全面的指南,讓你知道如何採取措施防止網站被駭客入侵。七個大秘訣告訴你,剩下的就靠你自己了!

更多精彩文章
免費英文編修工具,自動改文法給建議
Python 技巧:新手提升效率的必學語法
[PHP] 讓網頁自動重新載入JS和CSS檔
如何改寫程式?MATLAB 轉 Python 總整理
無瑕的程式碼:敏捷軟體開發技巧守則

1、安裝安全外掛程式

如果你建立了一個內容管理系統(CMS)網站,你可以外掛增強你的網站安全,增加駭客黑進你的網站的難度,讓他們「懶得」攻擊你的網站。每個主流的 CMS 系統都有可用的安全外掛,當中許多是免費的。這些外掛解決了每個平台固有的安全性漏洞,阻止了可能威脅你網站的駭客攻擊。



此外,所有的網站,不論你使用的是 CMS 管理的網站還是 HTML 頁面,你都可以考慮使用 SiteLock,因為這不僅僅是簡單地關閉網站安全性漏洞,它還提供日常監控,從惡意軟件檢測到漏洞識別,再提供主動病毒掃描等等。如果你的企業依賴著網站,SiteLock 絕對是一項值得考慮的投資。

2、必需使用強而安全的密碼

不管我們被告知多少次複雜高強度密碼、唯一密碼的重要性,總會有人在建立網站時使用基本密碼(如 password ),或者使用與其他所有密碼相同的密碼。選擇一個複雜高強度的密碼真的是保護你網站安全的最簡單的方法之一。

如果你擔心忘記密碼,為什麼不考慮用個密碼管理器呢?這些工具可以為你生成和保護密碼,並且只能使用主密碼進行存取。這意味著你只需要記住一個複雜的密碼,而不是很多不同的密碼。

定期更新密碼也是必需的,同樣地,密碼管理器是一個非常方便的工具。如果可以的話,建議你每隔幾個月更改一次密碼以提高安全性。

3、仔細檢查管理員帳戶

大多數人認為駭客只會在他們的網站上安裝惡意軟件然後就離開,但那不是真的。真正聰明的駭客將建立一個具有管理員權限的幽靈帳戶,這樣他們就可以隨時回來。「定期檢查」和「删除 WordPress 用戶」就可以解決這個問題了。

是的,如果你有一個龐大的團隊管理你的網站,那麼這可能是一項耗時的活動,但這是必要的。首先要删除那些不再為你的網站貢獻資源的用戶,然後強制使用高強度密碼,這樣你的作者和編輯就不會意外地破壞你的網站。你可能會遵循好密碼安全措施,但如果你的一個管理員成為釣魚詐騙的犧牲品,那麼你的網站也會受到影響。

充分利用 WordPress 用戶角色並盡可能限制存取。例如,如果有人只負責寫和上傳文章,給他們「作者」權限,而不是「管理員」權限。

4、更新所有東西

超過 90% 的駭客攻擊是因為駭客發現了主題或外掛中的漏洞,並在多個網站上利用了該漏洞進行攻擊。那麼什麼是漏洞呢?主題和外掛是軟件,和其他軟體一樣,它們都是程式碼,總是會有臭蟲的。有些臭蟲相對無害,可能只是在更新時引起一個小故障,但有些可能會使網站容易受到攻擊。

大多數漏洞是由安全研究人員發現的,他們會向外掛開發人員公開補丁。負責任的開發人員將發佈一個修復程式,安裝了該外掛的網站將看到該外掛的更新版本。一旦修復程式發佈,漏洞就會被公開披露。如果你是其中一個用安全補丁更新外掛或主題的網站,那就沒問題了,否則你的網站將成為業餘駭客的目標,幫助他們快速賺錢(笑)。

因此,從 WordPress 到外掛,最好隨時更新所有內容。我們知道更新有時會以意想不到的方式破壞網站,所以為了避免任何不便,請使用分期來安全地更新,但請還是定期更新到最新版本。

5、使用雙因素身份驗證

雙重認證(2FA)是一種安全措施,除了密碼之外,還增加了你必需擁有的另一個設備或令牌。有一些協定用於 2FA,比如 TOTP(基於時間的一次性密碼)或 HOTP(基於 HMAC 的一次性密碼),它們各有優缺點,但出於登入安全的目的,我們不需要深入研究這些細節。

有幾個付費和免費的應用程式可以用來把 2FA 加到你的登入頁面,它們都支持最流行的協定。如果你的網站有很多人貢獻内容,那麼開啓這個安全功能絕對是個好主意。

6、使用加密的 SSL

透過使用加密的 SSL,你可以讓資料在用戶、網站和資料庫之間傳遞時對其進行保護。這不僅有助於保護你的敏感資訊,也使駭客更難在未經授權的情況下存取你的網站或攔截其流量。Google 傾向於使用加密 SSL 協定的網站,因為這表明它們更安全、更可信,所以這也有助於提高 SEO。

7、保持簡單但有用的錯誤訊息



詳細的錯誤訊息可以在內部幫助你識別出問題所在,從而知道如何修復它。但是,當這些錯誤訊息顯示給外部訪客時,這就會洩露敏感資訊,告訴潛在的駭客你的網站的漏洞在哪裡。

要非常小心你在錯誤訊息中提供的資訊,這樣你就不會提供有助於壞人攻擊你的資訊。保持你的錯誤訊息簡單,這樣他們就不會無意中透露太多。但是也要避免模棱兩可,這樣訪客仍然可以從錯誤訊息中了解到足夠的資訊,從而知道下一步要做什麼。

總結

你可以透過提高警惕和採取主動的安全措施來阻止駭客。重要的是要認識到,保護你的網站免受駭客和惡意攻擊是一個持續的歷程。你可以一次性採取一些措施,但最重要的是你需要意識到威脅形勢的變化。此外,沒有一個一站式又明確的文章,可以幫助你阻止所有潛在的駭客攻擊你的網站。任何聲稱這樣做的文章、網站或專家都是不真實的。

所以,雖然我們不能保證這篇文章將永遠保證你的網站安全,但我們已經給了你一些一般的安全提示,這將使你的網站很難被駭客攻擊。依循這七個方法,讓你好好地修補網站安全性中的幾個常見缺陷。


← Back to note