• 爱博体育分析代维_网站托管维护_高防CDN_高防爱博体育分析租用 - 爱博体育分析网
  • 爱博体育分析代维
  • 网站托管维护
  • 高防CDN
  • 高防爱博体育分析租用
  • 解决方案
  • 安全研究
  • 首页 >> >> 如何保护好网站和爱博体育分析的安全

    如何保护好网站和爱博体育分析的安全

    时间:2020年03月13日

    互联网充满了各种事物,人们希望利用某人的工作成果来牟利。现代网站和电子商务企业主面临着黑客尝试(无论成功与否),数据盗窃,抢钱甚至使用爱博体育分析和网站作为后台运行的加密矿软件的基础的问题。情况确实多种多样,并且大多数情况下恶意软件会隐藏自身。当结果和所造成的危害开始引起重大问题时,它就开始引人注目。它们通常开始影响最终用户的印象。那么如何保护网站和爱博体育分析并确保所执行的动作具有实际效果?要回答这个问题,我们需要从头开始。我们需要回顾为什么可能进行黑客攻击,以及敞开哪些允许黑客和攻击者进入的大门?

    黑客与恶意软件集成的原因是什么?

    软件和应用程序的过时版本

    今天进行的黑客攻击中,有85%是由软件和应用程序的过时版本中的开放漏洞引起的您会笑的,但这也是突破的最简单方法之一。为什么?因为所有此类漏洞都是公开的,并已发布给所有人。您为什么认为我们使用的各种产品和工具的开发人员会不断提供越来越新的补丁和修改?因为黑客从不睡觉...)
    克服此类漏洞非常简单:您所需要的只是一个简单的机器人(它是在Internet上运行自动化任务或脚本的软件应用程序),其配置方式可以通过所有已知的后门并尝试上传或执行某些操作。您不需要执行某种狡猾的动作,就像电影中显示的那样。)

    零日漏洞

    那是什么?这种风险对于所有负责产品的各方以及对产品的进一步修补,升级等感兴趣的各方都是未知的。这些各方通常是:
    –团队,负责项目维护
    –最终用户
    因此,结论– 零日漏洞是一个没人知道的后门。它就在那里,就像一个覆盖着小地毯的孔。没有人知道这件事,因为没有人将脚踩在那儿并感到暗恋的痛苦。
    突破它并不像使用过时的软件那样容易,因为这种脆弱性通常对所有人都是隐藏的。但是,当它被有恶意的人找到时,剩下的就是等待并感受到后果。
    但是,攻击者喜欢“零日漏洞”,因为仍然没有安全补丁可以阻止它们(至少到目前为止),并且唯一可以阻止它们的是暴露允许的可利用程度。

    可疑的插件和扩展

    当前许多内容管理系统(CMS)允许通过添加插件来扩展其功能数量最多的插件是为WordPress,Magento,OpenCart开发的。这里的棘手事情是,这些扩展也是最大的漏洞之一,甚至是可能损害您的网站,应用程序甚至整个企业的恶意软件来源。
    什么是插件本身?这是一些额外的代码,被设计为单独的服务,可用于扩展网站的某些核心功能或仅向网站添加其他功能。它们是从哪里下载的?在大多数情况下,网站所有者可以在网络中的某个地方找到它们,也可以通过第一个将其转发到GitHub的 Google链接找到它们
    这里没有考虑的是,添加到系统中的每段代码都有潜在的风险。当您从Internet下载某种插件并在网站上进行设置而又不知道插件内部是谁的时候,谁是谁–您要做的就是授予具有潜在风险甚至恶意软件代码对您的网站及其数据的完全访问权限因此,如果该插件具有漏洞(在大多数情况下我们都面临这样的漏洞)或根本不是插件(这意味着它只是恶意软件的包装),请考虑您的网站和数据已被渗透。

    错误的代码

    以及插件:添加到系统中的每段代码都有潜在的风险因此,在专业和定性开发公司中,有一个单独的质量保证(QA)部门和漏洞研究人员(VR)部门。他们俩都在不断寻找潜在的漏洞和可能导致此类漏洞出现的错误。

    如何正确保护网站和爱博体育分析?

    实际上,我认为谈论黑客如何入侵和入侵您的网站就足够了。我认为现在该告诉您如何保护爱博体育分析和网站后门的安全,并防止黑客和恶意软件获取对系统的访问权了。

    WAF

    Web应用程序防火墙(WAF)是一种工具,用于过滤,监视和阻止与Web应用程序之间的HTTP / HTTPS通信。简单来说,这是一个非常愚蠢的工具,它允许通过内部配置的某些规则来循环流量。如果WAF不违反任何指定规则,它将进一步传递流量,如果违反,则立即将其阻止。
    尽管您需要承认WAF并不完美,并且可以在例如零时漏洞利用尚未由任何WAF规则处理的攻击媒介的情况下绕过这一事实。

    更新它,不要让它成为默认值!

    就像我们上面说的,最流行和最简单的后门之一就是过时的软件当有新的插件或CMS版本可用时保持网站更新非常重要我们在上面提到,僵尸程序可以轻松检测到漏洞。我们没有提到的是,这样的僵尸程序可以爬网整个网络,并使用过时的软件和开放的曝光来检测站点,然后将它们的坏手收拾进去。基本上所有CMS的
    默认设置都是一团糟。例如,某些CMS允许为任何类型的用户设置任何类型的扩展。因此,有一天,您只是来检查一下您的业务,然后看到某个用户安装了扩展程序,并删除了所有数据。别担心,请检查安全性设置在投入使用之前,请仔细了解CMS,因为这是值得的。如果不确定安全屏障是否足够好,则应寻找合格的服务提供商。它将检查您的安全设置,并向您咨询如何保护网站和爱博体育分析以获得最大保护。

    扩展/插件选择

    那么,您如何知道哪个插件不好,哪个插件很好呢?您应该查看的第一件事是此插件的更新频率 如果作者在1年前发布了最新更新,那么您应该怀疑有不好的地方。作者可能已经停止使用该扩展程序了,不会再有其他更新以及安全更新了,对吗?您需要了解,在大多数情况下,插件的操作与您网站的业务逻辑紧密相关。那么,在网站上安装潜在风险功能的意义何在?这不仅会成为黑客的后门,而且可能会成为整个企业的问题?
    你也应该看看插件的作者用户群越大,扩展越多,评级作者越好,其扩展就不会通过插入恶意代码而损害您的业务及其声誉。黑客不太可能尝试侵入有经验的作者开发的插件,因为他们的投资/利润变量太低。

    密码

    admin / admin`,真的吗?!)有时,黑客无需考虑需要突破的突出问题,因为网站所有者只是为他们敞开了大门。通过此链接,您可以查看2017年使用的最常见密码列表,如果其中包括您,则应进行更改。我的意思是,现在。就在此刻!
    WP Engine的家伙们对围绕密码的神话进行了出色的研究很棒,快来看看!
    密码有一个黄金法则– CLU
    – C表示复杂
    您最喜欢的运动队或出生日期绝对不是一个好主意!黑客可以在您拥有的任何社交页面上找到所有这些信息,因此,将其用作个人和企业敏感数据的密码绝对不是一个好主意。)尝试生成由各种字母,数字和其他符号组成的复杂密码
    – L(长)
    尝试使用最长12个字符的密码大多数现代在线登录系统都会限制尝试登录失败的次数,因此,由于大多数破解算法均基于简单排列,因此突破会导致12个或更多字符的密码出现问题。
    –代表唯一的U
    是的,正确,最佳和最安全的方法是拥有每个服务的唯一密码因此,为所有内容提供一个密码意味着对所有内容都具有单点故障,因为获得单一服务的访问权意味着获得对整个电子世界的访问权。
    – V字仇杀队(Vendetta
    Oops),不是合适的地方……)电影虽然很棒。)

    您可能会问:“ 如何存储所有内容?我记不清所有长而独特的密码!”  嗯,在现代世界中,有各种各样的工具可以安全地存储您的密码和登录名。我们为此使用离线KeePass,此应用程序有一个外观更好的版本,称为KeeWeb

    用户权限和访问

    对现场用户的权限和访问严格的政策将低黑客入侵,并通过'机会流氓 '用户帐户。不允许对1个帐户进行多次访问,为所有用户操作配置日志记录,以便跟踪用户的更改和操作。我们并不是要跟踪用户的每次点击并从背后探查以窃取他的信用卡数据,而是要跟踪用户在网站上的行为因此您可以轻松地发现异常行为,发现异常并进行确认没有人破坏其帐户的人。

    受保护的爱博体育分析

    安全性是一个复杂的术语,由不同的方面和安全性层组成。它们每个都剪切并过滤某些数据和活动。
    其中之一是爱博体育分析安全性,它应与代码充分协作和协调。在这里,我们谈论的是:
    –为爱博体育分析上运行的每个网站分隔php-pool
    –调整目录和文件权限
    –设置入侵防御工具
    –禁用目录列表
    –等等。

    外部备份

    如果一切都消失了该怎么办?当然,许多现代网站所有者对备份非常了解,他们知道备份非常重要。他们唯一不考虑的是将备份保存在同一爱博体育分析上根本不是一个好主意。
    为什么?这是主要的安全风险之一,因为保留在Web爱博体育分析上的备份始终包含一些旧的和未修补的CMS版本和扩展版本,这些版本可以公开获得。因此,黑客可以获得一种轻松的方法来访问您的爱博体育分析及其所有数据。我们认为保留备份的最佳方法是使用一些外部存储,甚至使用外部备份服务除了与网站存储在同一硬件上的安全风险备份外,它也没有用,例如:
    –如果硬件出现故障,则所有备份都将失败,并且您将无法恢复站点
    。–如果黑客入侵,他将获得对所有内容的访问权限。然后,攻击者可以轻松感染或删除备份副本以及实时站点。剩下的就是历史了……)

    安全解决方案

    上面强调的事情是基本的,并且在大多数情况下是常见的。但是,请不要将上述内容视为可涵盖爱博体育分析所有潜在风险的完整动作列表。忽略上面几段所述的基本应用程序侧安全方法,例如插件和软件的基本更新,只会导致重复的黑客攻击或入侵
    我们已经向您充分介绍了闯入爱博体育分析的可能方法,并介绍了如何处理它。如果您认为自己的网站或爱博体育分析不安全,或者已经注意到一些可疑活动,那么您绝对应该考虑上述安全措施。
    经验丰富且精通技术的网站所有者,开发人员和系统管理员可以涵盖上面指定的大部分内容。但是,如果您不了解什么,在哪里和如何做,该怎么办?好吧,我们很高兴宣布对我们的服务进行一些升级,因为现在我们开始提供网站和爱博体育分析安全性强化以及网站恶意软件清理

    怎么运行的

    上面的安全模式显示了我们如何为您的Web爱博体育分析配置安全层这种分层的想法行之有效,并已在各种情况下证明了自己。因此,让我们从头开始:

    WAF

    它采用了这种设置的第一个项目符号,并完成了许多肮脏的工作,例如:
    – 即时阻止黑客
    – 减轻和防止DDoS攻击
    –虚拟补丁和强化
    –防止零日漏洞

    除此以外,这一层还在不断改进,因为每天进行的研究可增强对不断发展的威胁的检测和进一步缓解。除此之外,您可以在此级别上配置一组自己的自定义防火墙规则,以确保它们涵盖了应用程序的瓶颈和潜在的后门(如果您知道的话)。

    流量通过WAF安全级别后,防火墙将其从所有可疑,不良和未知请求中过滤掉,然后发送给……

    爱博体育分析防火墙

    重点是什么?首先,爱博体育分析防火墙只会让WAF已经检查过的流量通过。因此,如果某种杂物工找到了解决WAF的方法,他/她将无法走得更远,因为爱博体育分析防火墙无法通过它。因此,爱博体育分析防火墙的主要功能如下:
    –只允许来自WAF的流量–只
    允许流量通过指定的端口(针对每种情况进行自定义配置)

    我们忘了提到SSL证书了吧?不,我们没有!)请记住, SSL不会采取任何措施来保护站点或爱博体育分析免受任何形式的攻击,或阻止其分发恶意软件SSL证书从A点发送到B点的数据(例如Web浏览器和Web爱博体育分析)进行加密做什么的?加密使任何人都无法融入链中并窃取从A到B发送的数据。这种攻击的名称是“中间人”Google也已开始强迫所有网站所有者从常规HTTP和旧HTTP迁移到HTTPS,您可以在我们以前的博客文章之一中了解更多信息

    流量经过前两个安全层后,即进入爱博体育分析端安全层。我们的团队从头开始处理他们的配置。这里的第一个是

    Web爱博体育分析安全层

    我们在其中配置了一组规则,以阻止用户直接访问网站的某些文件夹。此外,我们限制上传目录中的任何代码执行。然后谈到……

    PHP FastCGI Process Manager安全层

    反过来又具有:
    –一组禁止的功能,将阻止其
    执行 – 阻止图像内代码的执行
    – 禁止具有不同权限的用户运行PHP进程以对文件执行WRITE操作的规则

    最后但并非最不重要…

    文件系统安全层

    我们设置的位置:
    – Web根文件夹的权限,因此仅对Web爱博体育分析具有READ 权限,对sFTP具有WRITable权限
    – 仅允许对用户进行WRITE操作的/uploads目录。

    安全服务功能

    此外,我们会不断监视您的网站是否存在各种漏洞,网站被入侵的迹象,入侵以及黑名单机构的警告如果我们发现任何可疑的事件–我们会立即与您联系以指示并开始解决问题。除此之外,上述安全解决方案将检测停机时间以及DNS设置,核心文件完整性和SSL证书的更改,如果发现任何可疑内容,我们会提醒您。在下面,您可以看到ITsyndicate借助我们提供的安全解决方案检测并解决的恶意软件和安全问题的完整列表:

    -臭名昭著的网站黑客
    -问题和异常情况与Web爱博体育分析和网站的安全性
    -从黑名单当局警告
    - SSL证书的变化
    SQL注入
    - DNS记录更改
    -核心文件全部
    垃圾邮件注射从黑帽SEO
    恶意重定向插入JYJcode /配置
    –肮脏的搜索引擎结果
    –隐藏和恶意的iFrame
    –移动恶意软件感染
    – 网络钓鱼诱饵
    –被劫持的网站
    –混淆的JavaScript注入
    –针对移动设备的重定向
    –按下载驱动注入
    – 电子邮件垃圾邮件滥用
    – 制药黑客
    –桌面防病毒黑名单(即AVG,诺顿,迈克菲)
    –感染的数据库/ SQL注入
    –网站损坏
    – 嵌入式木马
    –跨站点脚本– XSS感染
    –搜索引擎列入黑名单

    文章整理:爱博体育分析安全与防御 http://www.vf8.com.cn/

    爱博体育分析网
    Copyright 2008-2018 京ICP备07014052号  

    服务热线
    138-1088-3058


    微信咨询