隨著越來越多建站產品、建站系統的出現,加上雲服務和虛擬主機服務的普及,以及 WordPress SaaS 域名註冊的方便快捷,如今一個沒有技術背景的站長都可以在短時間內完成一個網站的建設。
但是建站歸建站,網站建立之後會產生許許多多的問題,不可能一勞永逸,而其中網站的安全問題頻繁地出現,特別是我們經常看到國內外某某某大小網站被入侵、首頁被篡改或者網站被攻擊導致好幾個小時不能正常訪問。
所以說,網站的安全也是站長朋友們不得不重視的一個大問題,一旦網站出現大的安全威脅可能會給站長們帶來很大的損失,比如重要資料被刪、使用者等相關資料被盜、網站不能正常執行導致業務暫停而產生經濟損失等。
作為一個站長,掌握日常的網路建站安全知識,可以有效防止網站出現相關的安全問題。
第一、開源系統建站,安全措施一定要做足。
現在市場上有許許多多的開源建站系統,包括 CMS(內容管理系統) 、 SNS(社交網路系統) 、網店系統、自助建站 SaaS 企業建站系統等,這些開源的專案項目雖然都是 WordPress 自助建站免費地提供給廣大使用者使用,但是開源系統並不是絕對安全,特別是有不少的 CMS 往往都是有被爆出漏洞,菜鳥黑客利用很簡單的方法即可完成入侵。
所以,使用開源建站系統的站長朋友們必須關注系統的漏洞問題,關注開源系統的升級和補丁,及時把漏洞補上。
此外,有個很重要的需要注意的是,使用的開源建站系統要選擇那些有一定實力和品牌的團隊開發的,在淘寶上購買的不少開源網站程序碼往往沒有經過長期的測試、維護和升級,很容易就會出現安全漏洞,甚至開發者在程序碼中嵌入惡意和後門程序碼來盜取網站的資料。
第二、網站的賬號資訊不能掉以輕心。
現在很多網站,不管是會員中心的使用者登入還是管理員的賬號登入,往往都沒有做好賬號的安全。
比如,很多網站的會員註冊,連賬號和密碼的位數都沒有進行校驗,驗證碼這種基本的防重複註冊的措施都沒有做,這種賬號很容易就可以被破解出來,而且隨便寫個註冊程序就可以大批量註冊使用者,網站沒有任何的安全性可言。
還有,比較重要的 WordPress 網站後台登入入口,建議不能把連結暴露在互聯網當中,不要在網站的相關頁面上放置管理後台的連結,同時要放置 Google 和百度搜索引擎 的爬蟲抓取到後台管理的登入連結 (可採用 robots 檔案進行設定) 。
還有個比較重要的事項,也是很多網站現在都沒有做到的地方,就是在網站的登入入口,使用者名稱和密碼都是用明文傳輸,這種簡單的 http 傳輸很容易被擷取,所以有條件的 WordPress 網站可以在賬號的登入入口使用 https 進行加密。
第三、網站相關檔案上傳要謹慎。
WP SaaS 網站建設完以後,我們後期往往也會不停地維護,有的站長朋友會通過 ftp 或 ssh 等工具連線到網站伺服器的檔案目錄,把修改後的原始碼檔案進行上傳。
這裡,網站的相關檔案上傳也是很容易出現問題的地方,有一些程序設計師在修改程序碼的時候,往往會新增一些新的檔案,最容易出現問題的就是 js 檔案。
因為 js 檔案一旦嵌入到網頁中就會直接允許,如果這些 js 沒有經過認真檢查,可能當中會包含一些危險的程序碼,比如在網頁允許 js 的時候,把伺服器上的資訊刪除或者資料傳輸到遠端主機,這就會給網站帶來巨大的損失。
所以,在進行網站相關檔案的上傳時,一定要事項檢查檔案的安全性,對類似 js 、可執行檔案 exe 、可執行指令碼.sh 等必須加以檢查,防止惡意檔案上傳到網站的伺服器目錄。
第四、網站伺服器安全也要注意。
網站的伺服器安全可以說是網站運維人員的職責,但是很多網站都沒有人來做伺服器的安全維護,但是有些相關的伺服器安全設定是必須要做好的 WordPress 。
包括伺服器的防火牆需要正常開啟、伺服器的登入賬號和密碼的強度必須做好、伺服器的故障告警提醒等,其中伺服器的故障告警指的是當伺服器出現故障的時候,站長需要能夠短時間內收到告警提醒,以便於在網站出現故障的時候可以短時間內儘快恢復。
第五、網站做好訪問日誌。
網站的訪問日誌,可以在伺服器和網站的後台檢視,其中伺服器的日誌可以在 WEB 伺服器相關日誌檔案中檢視,如 apache 、 tomcat 等;建議在網站的後台設定相關的訪問記錄功能,以便於在網站出現安全問題的時候可以更近快速排查到原因,例如,可以在網站的後台記錄使用者訪問的 IP 來源、訪問次數、停留時間、訪問的頁面等。
WordPress SaaS,專業自助建站 SaaS 企業建站 10 年,為您打造放心網站。
開源自助建站系統科技有限公司。