如何保护您的网站免受黑客攻击

关于保护您的网站（在我看来，最重要的事情），首先要知道的是，您这样做并不是为了绝对保证免受恶意攻击者的侵害。大型组织的网站经常遭到DDOS攻击或被叙利亚电子军等黑客组织破坏。在最坏的情况下，他们的网站会使用户的个人身份信息（PII）由于跨站点脚本而变得容易受到攻击。

我要说的是，您为网站启用的安全性与其说是一把伞，不如说是一把筛子。你可以转移大型、明显和笨拙的攻击——这种攻击占网络攻击的97%——但总会有人足够聪明和狡猾来穿透你的防御。良好的网络防御将始终包括防御何时（而不是如果）失败的计划。话虽如此，这里有一些最常见的针对网站的攻击——跨站点脚本、信息泄露和DDOS攻击——以及如何转移它们。

1.跨站脚本（XSS）

跨站点脚本是一个危险的问题。与故意破坏或DDOS攻击不同，跨站点脚本攻击会将您的网站变成恶意软件载体，并可能危及用户的个人信息。一个常见的例子是：假设您的网站上有一个联系表。攻击者不会输入他们的姓名、电子邮件和消息，而是编写一些神秘的代码字符串，然后点击“提交”按钮。如果你不走运或不小心，那段代码就会入侵你网站的数据库——它会成为你网站的一部分。

当用户访问您的网站时，他们的浏览器会将您的所有内容与攻击者的代码一起呈现。这使得攻击者可以做一些事情，比如记录用户的每一次击键，从而最终捕获他们的用户名、密码、SSN、信用卡号等。

您如何防御跨站点脚本？

关于防止跨站点脚本的主题已经写了很多，好消息是它不需要购买昂贵的安全解决方案。您的网站开发人员可以在构建或修改您的网站时提供针对XSS的保护。从本质上讲，您需要将所有用户输入到您的网站视为“不受信任”。它可能是真正与您联系的人，也可能是恶意代码。因此，在将这些数据添加到数据库之前，需要对这些数据进行编码或转换为不会在浏览器中呈现的文本。

例如，用户可能会在您的网站上发表评论，其中包含以下两个字符之间的一些文本：<text>。不幸的是，“<”和“>”通常表示HTML中的<executable code goes here>——这可能是一个陷阱！通过编码，“<”和“>”被转换为“<”和“>”——这对你和你的HTML渲染器来说都是胡言乱语。如果您正在寻找更多信息，OWASP已经整理了一份全面的备忘单来防止XSS。还有一些公司会付费扫描您的网站以查找XSS漏洞——这些漏洞并不像未受保护的评论框那么明显——并提出补救建议。

2.信息泄露

这是针对网站的攻击的最常见原因之一，它甚至不是基于特定的软件漏洞。当你在PC端阅读这篇文章时，快速按下键盘上的F12。如果这不起作用，您可能需要右键单击并点击“查看源代码”。如果您是开发人员，您可能已经知道这是什么——它是给定网页的HTML源代码。您还知道，当您开发页面或Web应用程序时，您可能会在该代码中留下注释，例如指出存在错误。

这就是信息泄漏的地方：在软件开发周期的剩余物中。来自开发过程的剩余注释可以揭示诸如服务器配置、软件版本号、可利用的错误等等之类的东西——所有这些都是攻击者乐于利用的东西。当然，解决方案非常简单：不要这样做。

这在理论上是一个简单的答案，但在实践中，软件开发人员通常每周工作80小时，以便将产品推出市场。会犯错误。在一个将上市时间放在首位的环境中，安全性往往被搁置一旁。如果您的网页由第三方开发，最好让渗透测试人员查看您完成的页面，以找出这些和其他不安全因素。

3.分布式拒绝服务攻击（DDOS）

我过去写过很多关于DDOS攻击的文章，而且它们是最糟糕的。他们的工作原则是，通过同时向网站发送大量非法网络流量，很容易使网站崩溃。单个用户可以通过发送垃圾邮件DNS流量来产生DDOS攻击。其他时候，黑客使用一台或多台被远程控制的受感染计算机来完成相同的任务。DDOS攻击可能是出于意识形态的原因——叙利亚电子军和俄罗斯联邦都与DDOS攻击有关——但大多数攻击者想要冷、硬的比特币。

很多公司都付钱。毕竟，什么更容易放弃——10,000美元，还是几天的收入？与上面提到的攻击不同，仅靠合理的开发实践可能无法保护您的网站免受DDOS攻击。但是，您可以减轻这些攻击。

第一步是使用其内置软件（通常是BIND）监控您的DNS服务器。如果流量高于正常水平，那么您可能会遇到麻烦。如果您怀疑自己可能容易受到DDOS攻击，下一步可能是调整服务器可以处理的查询量。这需要资金，因此您配置服务器的程度应采取成本效益分析的形式。最后，一个名为Anycast的工具允许用户在多个位置使用相同的IP地址托管服务器。如果攻击者在一个位置攻击您的服务器，您可以使用此工具将流量路由到世界其他地区的服务器，从而允许大多数合法用户查询您的站点而不会遇到延迟问题。

4.WordPress攻击

许多阅读本文的人都会在WordPress平台上拥有博客或网站。WordPress网站很容易受到上述相同类型的攻击。例如，该公司最近发布了一个补丁来修复一个漏洞，该漏洞使其数百万用户容易受到跨站点脚本的攻击。希望对你们中的大多数人来说，你不得不担心的最大安全威胁将是偶尔的垃圾邮件评论。

许多基本的安全性都围绕着使WordPress客户端保持最新。该组织非常看好安全性，并不断发布自动更新以提高日常用户的安全性。话虽如此，如果您使用不安全的自定义主题，更新核心WordPress软件将无法保护您。假设您的主题是安全的，黑客可能会通过攻击您用于控制和编辑网站的计算机来窃取您的登录凭据。如果您运行防火墙和防病毒软件（针对家庭用户）或企业级系统监控，您将降低这种风险。

有些插件声称提供全套安全服务，包括防火墙、入侵检测和错误记录。关于这一点，我会说我对所有安全工具的看法——仅仅在你的系统上安装它不会让你更安全。您需要使用它，了解它告诉您的信息，确定代表您网站上普通流量的基线，然后才能了解您是否受到攻击。

5.VPN作为网站安全的一个组成部分

我们大多数人都认为VPN是一种绕过区域锁定视频限制的方法，或者是一种在国外安全登录公司内部网的方法。如果您的网站提供诸如云托管软件或数据之类的东西，那么拥有VPN也非常重要。

这种安全连接可防止恶意行为者在有人访问您想要设置安全性的资源（信用卡号、健康记录和其他PII）时监听。但是，如果您的网站上有VPN门户，则需要采取一些重要步骤来确保门户是安全的。Securethoughts.com提供了相当全面的VPN服务列表，并附有评论。

6.TLS，不是SSL

由于名为POODLE（与Heartbleed非常相似）的漏洞利用，SSL VPN实际上已过时。如果您的VPN门户仍然使用SSL，您的访问者可能会将其视为危险信号。SSL的安全替代品是传输层安全性（TLS）。这是您要使用的。重要的是要注意，为了熟悉起见，许多安全专家用旧的、错误的SSL名称来称呼TLS——这可能会让人感到困惑。您还需要确保您使用的是最新版本的TLS，因为它提供了对原始版本的重大改进。

7.当所有其他方法都失败时

正如我所解释的，大多数针对网站的常见攻击都可以通过使用不需要昂贵工具的做法来转移。然而，黑帽子总是有可能战胜你。好消息是，有效地应对违规行为将降低您的总体成本，并阻止客户离开您的业务。例如，为了应对2014年的违规行为，Evernote全面详细说明了所采取的措施，重置了所有客户的密码，并发出了及时而全面的通知。该公司因其透明度和高度谨慎而受到普遍称赞。

我最好的建议是：明智地投资于安全性。使用合理的做法和训练有素的员工，同时尽量减少对工具的依赖。您可能无法每次都偏转每一次攻击，但是当锤子最终落下时，应该没有人可以说您没有准备好。

相关推荐: 跨境电商Shopee如何开通视频直播？有哪些注意事项？

厦门商城系统开发 Shopee是东南亚及中国台湾地区的电商平台 ，总部位于新加坡，于2015年创立，市场覆盖东南亚多个国家，主要包括马来西亚、泰国、印度尼西亚、越南及菲律宾等。   Shopee平台用户数量超过3000万，目前拥有700万活跃卖家，该平台商品种…