草根站长的网站安全指南

互联网就像一个开放的大世界,任何人都能来去自如。但是,有些东西是要权限的,比如自己家的门,只有自己才能进去,而要打开门,钥匙是必须的。

对于我们的网站来说,管理后台就是给管理的一道门,用户名和密码就是这道门的钥匙,一旦泄露,就可能出现大家都不愿意看到的损失。

为了让自己的网站更安全,我们不光要学会建站、seo,还得学会保护自己的网站。

笔者做过.net开发、php开发,有十年的经验,对于web开发的安全攻防稍有了解,这里给大家分享一下网站安全防范的一些常识和经验。

后台用户名和密码要经常更换

对于黑客来说,进入网站的管理端是最常见的web攻击手段,只要你暴露了管理端地址,使用的用户名和密码容易被猜测出来,那么,被攻击是分分钟钟的事情。

作为草根站长,我们最常用的都是一些开源的建站系统,这些建站系统安装完成之后,一般都会有默认的用户名admin,甚至于一个简单密码123456,而比较懒的站长会直接使用默认用户名和密码,这就导致黑客不费吹灰之力就入侵你的网站。

当然,即使你修改了密码,暴利破解这种传统的黑客手段也能找出密码,而且这只是一个时间问题,复杂度高,破解花费的时间更长,更安全,反之,更容易被破解。

所以,我们不定期的修改用户名和密码是最基础,也最有效的防止后台被攻破的防范措施。

如果条件允许,我们也可以给自己的网站管理端入口增加验证码功能,这能有效的提高黑客暴力破解的成本,从而让黑客直接放弃。

要学会查看服务器和网站的各种日志

有时候,我们面临的攻击可能更简单粗暴,比如ddos攻击。甚至于只是一些非法爬虫不停的抓取我们网站的内容,导致我们本身就配置一般的服务器不堪重负,出现无法响应正常用户的情况。

对于这种攻击,如果你不会看服务器和网站的各种日志,很难发现问题原因,从而解决问题。而如果我们会查看自己网站的响应日志,就能很容易找出问题,对于那些高频、异常的请求,我们可以找出来直接对相关的ip段进行屏蔽。

而且,学会看日志,还能找出来我们系统的弱点、程序错误,这是确保我们网站高效运作非常重要的一环。

没必要的功能要隐藏或者删除

有时候,我们建站的目的非常简单和明确,但是我们使用的建站程序确并非定制,会有很多的冗余功能和代码,这些冗余的功能和代码不仅影响网站的速度、占用服务器资源,还会带来非常大的安全隐患。

比如我们的系统不需要评论功能,我们就把它关掉,而如果你不需要却保留了,很可能被一些黑客利用发布一些垃圾信息、灌水、甚至于让你的数据库存在大量垃圾信息。

这里要说的是wordpress这个系统,虽然在国际上wordpress可以说是最常用、也是最好的博客和cms系统之一,系统成熟度高、社区活跃、开发者众多、插件、主题也非常多。然而,在国内,wordpress却会运行非常慢,原因是google的字体在国内无法正常加载。

更严重的是,wordpress的插件众多,各个插件都来自于不同的开发者。有些站长特别喜欢使用各种插件,有用没用的都安装上,导致网站不仅速度慢,还让黑客获得更多攻击的机会。要知道,就算你安装了,但是没有用到的插件,一样可能出现威胁网站安全的漏洞被黑客利用。

上线之后要关闭各种调试模式

调试模式是开发者经常会用到的,可以方便开发者快速找到并定位问题。但是网站上线之后,开发者模式对你的网站没有任何好处,甚至于危害非常大。

开发者模式开启之后,只要程序允许出现警告、错误等信息,就会在前端输出,这些输出的信息可能会包含网站文件的路径等非常敏感的信息,这些信息可以让黑客攻击你的网站事半功倍。

一般网站的开发者模式都能在配置文件里面关闭掉,甚至于一些成熟的系统在系统设置里面也有开启和关闭的开关,大家一定要记得关闭。

域名解析使用cdn

使用免费的cdn服务不仅可以让你的网站加载速度更快,还能有效的防止ddos攻击等黑客攻击手段。

使用cdn后访客访问都是访问cdn节点,cdn防护机制会自动识别每个访问是否是攻击,检测到是攻击就会自动进行拦截清洗,保障隐藏在后端的网站服务器不会遭受到攻击。

0 0
来自国子派网赚项目评估网,本文地址:https://www.guozipai.com/2020/01/15/5395.html,除非注明,文章均为原创,转载请注明出处和链接!
https://www.guozipai.com/

草根阿牛,国子派网赚博客的创始人,10年互联网开发经验的老程序员,在网赚圈也摸爬滚打了10年,目前一边做开发,一边做网赚,两份工作都算是专职,16年开始做国子派网赚博客,致力于互联网网赚项目发掘,深度刨析项目可行性。

    评论已关闭。