大家经常看到有网站遭受黑客攻击的新闻,这样的新闻已经是屡见不鲜了,然而又有多少站长真正注意到自己网站的安全性,或者并不知道该如何去保护自己的网站。今天美国主机侦探就为大家提供一些小建议帮助站长朋友打下网络安全的基础。
1.使用开源脚本
如今比较流行的WordPress、Drupal和Joomla等等,这些开源脚本都拥有丰富强大的功能且拥有背后由数千人形成的技术支持和软件更新团队。使用开源脚本的好处就是防止了由于代码形成的漏洞导致的攻击,你只需要根据自身需求定期更新软件即可。
2.网站程序的更新
不管你的网站使用的是何种程序,一旦官方发布了新版本的,你最好要更新到最新的版本。因为新版本会对以前的bug进行修复,这是非常重要的。比如你的网站使用的是WordPress程序搭建的,那么一旦WotrdPress官方发布了最新的版本,你就可以在WordPress后台操作更新版本。
3.密码的强度
这点无论是在对网站的管理上还是注册其他的产品,密码一定时要高强度的,千万不要使用纯数字或者纯字母的密码,也不要将自己的生日、爱好等相关的设置成密码。使用一个由阿拉伯数字、字母和特殊字符构成的长度在10个字符以内的密码会是比较好的选择。
4.保护管理员邮件地址
尽量让和你网站相关联的电子邮件地址(即管理员邮件地址)远离公众视野,在网页上使用一个完全无关的地址。有助于免受钓鱼网站的欺骗。
5.为数据库表添加前缀
如果你正在使用CMS、博客或论坛,修改默认的数据表前缀。例如使用WordPress建立的数据表默认的前缀是“wp”,如果一个顶级的黑客找到方法从数据库中提取数据,默认的表前缀会造成很大的损失。
6.保护数据库的密码
数据库密码不是一个强制性的要求,如果它是空的仍然可以安装脚本,但是拥有一个数据库密码不会减缓数据库的访问速度,因此没有理由不创建一个。
7.删除安装文件
一旦安装完后,网站操作的日常操作中便不再需要安装文件。黑客很有可能重新运行安装程序,情况数据库,控制网站和内容。最理想的就是一旦安装完成后就删除安装文件,你也可以选择重命名文件夹。
8.修改文件(夹)权限
当安装时一些软件要求读写权限,这可以通过使用特殊的文件夹如config,admin配置使用777代码完成。恢复默认访问权限需要的代码为755或644。拥有读写权限的文件夹可以轻易地访问并修改网站的代码。
9.限制访问根目录
除了管理员外的人,永远不要给外人FTP或数据库的操作权限。
10.确保存在.htaccess文件
.htaccess文件被用来为特定的目录指定安全限制,确保你没有意外地删除特定目录或者判断它是否是第一次出现。
11.添加robots.txt文件
robot.txt文件为搜索引擎提供特殊的指示如哪些文件已经被索引了,哪些没有。文档、图像文件可以被隐藏在包下避免被搜索到,也避免了在网络上显示。
12.使用安全插件
成熟的平台都会有插件扩展功能。安全插件为网站提供了一层额外的保护膜。例如,在安装WordPress时,WP Security Scan插件会检查上面提到的步骤是否已经实施。
以上12点可以让我们提升网站安全性的细节,是我们学习网络安全的基础。当然,站长朋友也可以去一些技术类的博客去关注互联网最新出现的攻击和漏洞,以及找到提升网站安全的更多途径。
