您可以使用防病毒软件保护每台办公室计算机。您安装防火墙以防止对网络的不必要访问。但是您如何保护您的网站?如果不受保护,会发生什么?

本文针对的不是网站安全或Web应用程序安全专家的网站所有者。我们将说明您可以采取哪些步骤为您的网站建立良好的安全策略,以及如何避免安全威胁。我们还将讨论常见的误解。

让我们从定义开始。

什么是网站安全?

网站安全是保护您的网站免受网络犯罪分子攻击的所有安全措施。

网站安全包括哪些内容?

网站安全涉及正确的程序,正确的人员以及正确的工具和应用程序。它通常不仅限于网站,还包括Web服务器和托管提供商的安全性。

如果您的网站安全性不够好,会发生什么?

如果您的网站安全性不够好,则网络犯罪分子可能会访问您的网站,例如:

  • 导致数据泄露并窃取敏感信息(例如密码或信用卡信息)
  • 攻击您的其他系统(例如,安装勒索软件)
  • 使用您的网站来攻击其他人(例如,发送包含您的网站URL的网络钓鱼电子邮件)
  • 污损您的网站,使您失去声誉。

SSL证书足够了吗?

许多企业认为安装SSL证书足以保证网络安全。虽然很重要,但绝对不够:

  • SSL / TLS证书将保护您的网站免受 中间人攻击。如果连接安全,则任何人都无法收听Web浏览器和Web服务器之间的通信。
  • SSL / TLS证书不会阻止网络犯罪分子利用您的网站代码或Web服务器配置中的漏洞。

网站上最严重的攻击是由网站代码和Web服务器配置中的安全漏洞引起的。

什么是网络漏洞,它们来自何处?

Web漏洞是网站或Web应用程序代码中的错误。此类安全性问题是由软件开发人员引入的。

这些常见的威胁使攻击者可以访问他们不应该访问的信息,或者使攻击者包括自己的恶意代码。然后,该恶意代码由Web服务器或您的网站访问者运行。

哪种软件可以帮助您保护网站安全?

为了消除安全风险,您必须确定该网站没有网络罪犯可以利用的漏洞。

检查可能漏洞的最有效方法是使用网络安全扫描程序。此类安全工具:

  • 非常仔细地分析网站的结构以找到每个可能的数据入口点(对于Acunetix,它甚至可以在具有许多HTML5和JavaScript的非常复杂的应用程序上运行)
  • 将特殊数据发送到您的网站,以查看网站代码如何对此类数据做出反应
  • 如果发现漏洞,则将其报告(以Acunetix为例,包括证明该漏洞是真实的以及有关如何修复该错误的信息)

但是,自动化软件将永远找不到所有可能的漏洞。这就是为什么定期执行一个好主意的原因 渗透测试。如果您不聘请安全专家,则可以聘请外部安全承包商来做。

What AboutWeb应用防火墙s (WAF)?

在修复漏洞之前,Web应用程序防火墙可用于保护您的网站。 Web应用程序防火墙检查用户发送的数据,并寻找可能构成攻击迹象的模式。如果在WAF黑名单上找到了这种模式,则数据永远不会到达服务器。

使用WAF的问题在于,这就像用胶带固定汽车。它使零件保持在一起,但不能解决问题。如果攻击者足够聪明,并且设法发送Web应用程序防火墙无法识别的数据,但仍包含恶意代码,则他们仍然可以攻击您的网站。

什么是SQL注入和XSS,它们是否是主要问题?

SQL注入 and 跨站点脚本(XSS) 是网站上两种最知名的漏洞。他们已经存在了很长时间,已经超过20年了。但是,它们仍然存在于许多网站和Web应用程序的代码中。的 2020年Acunetix Web应用程序漏洞报告 显示SQL注入仍在8%的站点中存在,跨站点脚本仍在25%的站点中存在。您的网站很有可能存在这些漏洞之一。

即使对于像Google这样的大型网络公司,此类漏洞也很常见。例如,独立研究人员最近使用Acunetix查找了  谷歌 中的XSS漏洞 一家主要的IT安全提供商Sophos 发现有SQL注入 recently.

SQL注入和XSS漏洞非常严重,并且可能会导致非常严重的后果。 SQL注入可能会让攻击者访问您的数据库,甚至是您的Web托管操作系统。跨站点脚本攻击使网络罪犯可以攻击并冒充您的用户。

恶意软件会影响网站吗?

恶意软件通常会攻击台式计算机,但是破坏网站的攻击者可能会在该网站上放置恶意脚本。此类恶意脚本可能会帮助网络犯罪分子攻击您网站的用户。

像Acunetix这样的专业网络安全扫描仪也可以保护您免受这种威胁。 Acunetix从其分析的网站下载所有脚本,并检查它们是否存在恶意软件。但是,没有软件可以帮助您从服务器中删除恶意软件-您将必须手动处理它。

如何防御DDoS攻击?

您不能购买任何能够完全保护您免受大多数DDoS攻击(分布式拒绝服务)的软件。

由于漏洞,某些DDoS攻击是可能的(例如, Slowloris漏洞)。漏洞扫描程序通常可以保护您免受此类攻击。

但是,大多数DDoS攻击是使用诸如 低轨道离子加农炮(LOIC) or 高轨道离子大炮(HOIC),与普通用户的请求没有区别。防范它们的最简单方法是拥有一台功能强大的服务器,并带有专用的反DoS解决方案。

幸运的是,当今大多数商业网站都托管在此类服务器上。大型托管公司(例如Akamai)可以处理如此多的请求,因此DDoS攻击的威胁要小得多。它们还具有保护网站的特殊机制。

如何确保WordPress安全?

WordPress是最常见的内容管理系统,它也是已知存在最多安全问题的系统。但是,WordPress的大多数问题不是由核心软件引起的,而是由插件和主题引起的。

因此,确保WordPress安全的前两件事是:

  • 始终使用最新版本的WordPress。立即安装更新(尤其是安全更新)。
  • 仅使用必要的插件和主题。它们越少,您的安全性就越高。仅使用知名的插件和主题,避免使用不太受欢迎的插件和主题。
  • 定期使用漏洞扫描程序扫描您的WordPress网站。例如,Acunetix有许多特定于WordPress的检查,但也可以发现其他通用漏洞。

请注意,如果您不使用WordPress,但使用的是Joomla!,Drupal或其他CMS系统,则上述所有建议同样适用。

资源: //www.acunetix.com/blog/web-security-zone/website-security/