随著越来越多建站产品、建站系统的出现,加上云服务和虚拟主机服务的普及,以及 WordPress SaaS 域名注册的方便快捷,如今一个没有技术背景的站长都可以在短时间内完成一个网站的建设。
但是建站归建站,网站建立之后会产生许许多多的问题,不可能一劳永逸,而其中网站的安全问题频繁地出现,特别是我们经常看到国内外某某某大小网站被入侵、首页被篡改或者网站被攻击导致好几个小时不能正常访问。
所以说,网站的安全也是站长朋友们不得不重视的一个大问题,一旦网站出现大的安全威胁可能会给站长们带来很大的损失,比如重要资料被删、使用者等相关资料被盗、网站不能正常执行导致业务暂停而产生经济损失等。
作为一个站长,掌握日常的网络建站安全知识,可以有效防止网站出现相关的安全问题。
第一、开源系统建站,安全措施一定要做足。
现在市场上有许许多多的开源建站系统,包括 CMS(内容管理系统) 、 SNS(社交网络系统) 、网店系统、自助建站 SaaS 企业建站系统等,这些开源的专案项目虽然都是 WordPress 自助建站免费地提供给广大使用者使用,但是开源系统并不是绝对安全,特别是有不少的 CMS 往往都是有被爆出漏洞,菜鸟黑客利用很简单的方法即可完成入侵。
所以,使用开源建站系统的站长朋友们必须关注系统的漏洞问题,关注开源系统的升级和补丁,及时把漏洞补上。
此外,有个很重要的需要注意的是,使用的开源建站系统要选择那些有一定实力和品牌的团队开发的,在淘宝上购买的不少开源网站程序码往往没有经过长期的测试、维护和升级,很容易就会出现安全漏洞,甚至开发者在程序码中嵌入恶意和后门程序码来盗取网站的资料。
第二、网站的账号资讯不能掉以轻心。
现在很多网站,不管是会员中心的使用者登入还是管理员的账号登入,往往都没有做好账号的安全。
比如,很多网站的会员注册,连账号和密码的位数都没有进行校验,验证码这种基本的防重复注册的措施都没有做,这种账号很容易就可以被破解出来,而且随便写个注册程序就可以大批量注册使用者,网站没有任何的安全性可言。
还有,比较重要的 WordPress 网站后台登入入口,建议不能把连结暴露在互联网当中,不要在网站的相关页面上放置管理后台的连结,同时要放置 Google 和百度搜索引擎 的爬虫抓取到后台管理的登入连结 (可采用 robots 档案进行设定) 。
还有个比较重要的事项,也是很多网站现在都没有做到的地方,就是在网站的登入入口,使用者名称和密码都是用明文传输,这种简单的 http 传输很容易被撷取,所以有条件的 WordPress 网站可以在账号的登入入口使用 https 进行加密。
第三、网站相关档案上传要谨慎。
WP SaaS 网站建设完以后,我们后期往往也会不停地维护,有的站长朋友会通过 ftp 或 ssh 等工具连线到网站服务器的档案目录,把修改后的原始码档案进行上传。
这里,网站的相关档案上传也是很容易出现问题的地方,有一些程序设计师在修改程序码的时候,往往会新增一些新的档案,最容易出现问题的就是 js 档案。
因为 js 档案一旦嵌入到网页中就会直接允许,如果这些 js 没有经过认真检查,可能当中会包含一些危险的程序码,比如在网页允许 js 的时候,把服务器上的资讯删除或者资料传输到远端主机,这就会给网站带来巨大的损失。
所以,在进行网站相关档案的上传时,一定要事项检查档案的安全性,对类似 js 、可执行档案 exe 、可执行指令码.sh 等必须加以检查,防止恶意档案上传到网站的服务器目录。
第四、网站服务器安全也要注意。
网站的服务器安全可以说是网站运维人员的职责,但是很多网站都没有人来做服务器的安全维护,但是有些相关的服务器安全设定是必须要做好的 WordPress 。
包括服务器的防火墙需要正常开启、服务器的登入账号和密码的强度必须做好、服务器的故障告警提醒等,其中服务器的故障告警指的是当服务器出现故障的时候,站长需要能够短时间内收到告警提醒,以便于在网站出现故障的时候可以短时间内尽快恢复。
第五、网站做好访问日志。
网站的访问日志,可以在服务器和网站的后台检视,其中服务器的日志可以在 WEB 服务器相关日志档案中检视,如 apache 、 tomcat 等;建议在网站的后台设定相关的访问记录功能,以便于在网站出现安全问题的时候可以更近快速排查到原因,例如,可以在网站的后台记录使用者访问的 IP 来源、访问次数、停留时间、访问的页面等。
WordPress SaaS,专业自助建站 SaaS 企业建站 10 年,为您打造放心网站。
开源自助建站系统科技有限公司。