【指南】10个防止网站被黑的做法，知其所以然！

作为网站拥有者或者管理者，除了看到您的所有工作被烦人的的黑客更改或完全抹去之外，还有什么比这更可怕的事情了？再开始正文之前，需要强调的是对于普通网站，养成良好的密码、源码备份、更改开源代码的习惯至关重要！

我们一直在新闻中看到数据泄露和黑客攻击。您可能会想，为什么有人会来我的小型企业网站？但是黑客不仅发生在大个子身上。一份报告发现，小型企业是所有数据泄露事件的43％的受害者。 

绝大部分运营者对于品牌站点是有企图让其得到更好展示的想法的，故此花点时间使用这些基本的黑客保护技巧来保护它很重要。

5个简单步骤即可保护您的网站免受黑客攻击

您可能在开始这篇文章时担心，它充斥着您的一般网站所有者云里雾里的技术术语，将要讲述的本文中，后面的5个技巧确实具有技术性，您可能需要引入您的开发人员。

但是，在哪买其实可以自己做一些事情，而这些事情真的不需要太多的技术知识。 

步骤1：安装安全性插件

如果使用的是开源的内容管理系统（CMS）构建网站，则可以使用主动防止网站被黑客入侵的插件来增强网站安全性。每个主要CMS选项都有可用的安全性插件，其中许多是免费的。

这些选项解决了每个平台固有的安全漏洞，阻止了可能威胁网站的其他类型的黑客尝试！

被黑最惨的织梦dede系统也有其安全插件，如此可见一斑，好东西拿来即可以用，收费的插件如果真的有用，那么那点费用奖励给开发者又何乐而不为呢？

步骤2：使用HTTPS

作为消费者，当您向网站提供敏感信息时，您可能已经知道总是在浏览器栏中寻找绿色锁定图像和https。这五个小写字母是黑客安全的重要简写：它们表明在特定网页上提供财务信息是安全的。

SSL证书非常重要，因为它可以保护网站与服务器之间的信息传输，例如信用卡，个人数据和联系信息。

尽管SSL证书对于电子商务网站一直是必不可少的，但最近获得证书对于所有网站都变得很重要。2018年7月， 谷歌浏览器发布了一个安全更新，如果您的网站未安装SSL证书，则会提醒网站访问者。即使您的网站未收集敏感信息，这也使访问者更容易反弹。 

搜索引擎比以往任何时候都更加重视网站安全，因为它们希望用户获得积极和安全的浏览网页的体验。为了进一步保证安全性，如果您没有SSL证书，搜索引擎可能会将您的网站在搜索结果中的排名降低。

这对您意味着什么？如果您希望人们信任您的品牌，则需要投资SSL证书。SSL证书的成本极低，但是它为您的客户提供的额外加密级别在使您的网站更加安全和值得信赖方面大有帮助。

步骤＃3：保持网站平台和软件为最新

将CMS与各种有用的插件和扩展一起使用会带来很多好处，但同时也会带来风险。该网站感染的主要原因是内容管理系统的可扩展组件的漏洞。 

由于这些工具中的许多都是作为开源软件程序创建的，因此它们的代码很容易被有意向的开发人员和恶意黑客访问。黑客可以浏览此代码，寻找安全漏洞，使他们可以利用任何平台或脚本漏洞来控制您的网站。

为了保护您的网站免遭黑客入侵，请始终确保您的内容管理系统，插件，应用程序以及已安装的所有脚本都是最新的。 

步骤＃4：确保密码安全

这个看起来很简单，但是非常重要。

尝试使用一个您容易记住的密码一直很诱人，这就是为什么最常见的密码仍然是123456 的原因。您必须做得更好-比阻止黑客和其他外部用户进行登录尝试要好得多。

努力找出真正安全的密码（或使用网络上的的密码在线生成器，自己记得备份密码即可）。混合使用特殊字符，数字和字母。并避免使用可能容易猜到的关键字，例如您的生日或孩子的名字。如果黑客以某种方式获得了有关您的其他信息的访问权，他们将首先知道这些信息。

第一步，要对密码安全性保持高标准。您还需要确保有权访问您的网站的每个人都具有类似的强密码。您的团队中只有一个弱密码可以使您的网站容易受到数据泄露的影响，因此请与有访问权限的每个人一起设定密码期望标致。

步骤5：自动备份。

备份所有数据。这适用于网络上的所有端点以及网络共享。只要将数据存档，您就可以始终擦除受感染的系统并从备份中还原。

即使您执行此列表中的所有其他操作，您仍然会面临一些风险。网站被盗的最坏情况是丢失所有内容，因为您忘记了备份网站。保护自己的最佳方法是确保始终有最新备份。

尽管无论如何都会造成数据泄露的压力，但是当您拥有当前备份时，恢复就容易得多。您可以养成每天或每周手动备份网站的习惯。但是，即使您几乎没有机会忘记，也可以投资自动备份。这是一种省心的便宜方法。 

上述所有步骤都相对轻松，即使对于拥有最少技术经验的网站所有者也是如此。列表的后半部分变得更加复杂，您可能需要致电开发人员或网络顾问来帮助您如有需要欢迎联系合肥老刘SEO。 

步骤＃6：在接受通过您的网站上传的文件时，请采取预防措施。

当任何人都可以选择将某些内容上传到您的网站时，他们可能会通过加载恶意文件，覆盖对您的网站重要的现有文件之一或上传太大而导致整个网站瘫痪的文件来滥用特权。 

如果可能的话，完全不接受通过您的网站上传的任何文件。许多小型企业网站根本无法提供文件上传选项。如果这样描述您，则可以在此步骤中跳过所有其他内容。  

但是，并非所有网站都禁止删除文件上传。某些类型的企业，例如会计师或医疗保健提供者，需要为客户提供一种安全地提供文件的方法。 

如果需要允许文件上传，请采取一些步骤来确保保护自己：

创建允许的文件拓展名白名单。通过指定您将接受的文件类型，可以将可疑文件类型排除在外。

使用文件类型验证。黑客试图通过重命名其扩展名与文档类型实际不同的文档，或在文件名中添加点或空格来偷偷摸摸地进入白名单过滤器。 

设置最大文件大小。通过拒绝超过一定大小的任何文件，避免分布式拒绝服务（DDoS）攻击。 

扫描文件中是否存在恶意软件。打开之前，请使用防病毒软件检查所有文件。

上传时自动重命名文件。黑客在寻找文件时，如果文件名不同，将无法重新访问它们。 

将上载文件夹放在webroot之外。这使黑客无法通过他们上传的文件访问您的网站。

这些步骤可以消除允许文件上传到您的网站时固有的大多数漏洞。 

步骤＃7：使用参数化查询

SQL注入是许多站点遭受攻击的最常见的网站黑客之一。

如果您具有允许外部用户提供信息的Web表单或URL参数，则SQL注入可以发挥作用。如果您将该字段的参数设置得太开放，则有人可以在其中插入代码以允许访问您的数据库。重要的是要保护您的站点不受此影响，因为数据库中可以保留大量敏感的客户信息。

这里有一些步骤，你可以采取的防止SQL注入黑客您的网站; 最重要和最容易实现的方法之一是使用参数化查询。使用参数化查询可确保您的代码具有足够具体的参数，从而使黑客没有空间去搞乱它们。

步骤8：使用CSP

跨站点脚本（XSS）攻击是站点所有者必须注意的另一种常见威胁。黑客找到了一种将恶意JavaScript代码泄漏到您的页面上的方法，然后该方法可以感染暴露于该代码的任何网站访问者的设备。

保护您的站点免受XSS攻击的部分工作类似于SQL注入的参数化查询。确保您在网站上用于允许输入的函数或字段的任何代码在允许的范围内尽可能明确，以免留有余地。

内容安全策略（CSP）是另一个方便的工具，可以帮助保护您的网站免受XSS的侵害。CSP允许您指定浏览器在页面上时应考虑哪些域应考虑可执行脚本的有效来源。然后，浏览器将知道不要注意任何可能感染站点访问者计算机的恶意脚本或恶意软件。

使用CSP涉及在网页上添加适当的HTTP标头，该标头提供一串指令，该指令告诉浏览器哪些域可以使用以及规则的任何例外情况。您可以在此处找到有关为网站制作CSP标头的详细信息。

步骤＃9：锁定目录和文件权限

可以将所有网站简化为存储在您的虚拟主机帐户中的一系列文件和文件夹。除了包含使网站正常运行所需的所有脚本和数据外，还为这些文件和文件夹中的每一个分配了一组权限，这些权限用于控制谁可以相对于他们所在的用户读取，写入和执行任何给定的文件或文件夹，或者他们所属的组。

在Linux操作系统上，权限是一串为三位数的代码，其中每一位数都是0到7之间的整数。第一个数字表示文件所有者的权限，第二个数字表示分配给拥有该文件的组的任何人的权限，第三个数字表示其他人的权限。分配工作如下：

4等于读

2等于写

1等于执行

0等于该用户没有权限

例如，使用许可代码“ 644”。在这种情况下，第一个位置的“ 6”（或“ 4 + 2”）使文件的所有者可以读写文件。第二和第三位置的“ 4”表示组用户和整个Internet用户都只能读取文件-保护文件免受意外操作。

因此，具有“ 777”（或4 + 2 + 1/4 + 2 + 1/4 + 2 + 1）权限的文件可被用户，组以及其中的每个人读取，写入和执行。世界。

如您所料，分配了权限代码的文件使网络上的任何人都可以编写和执行该文件，而该文件已被锁定以仅保留所有者的所有权限，因此安全性要低得多。

当然，有充分的理由开放对其他用户组的访问权限（例如，匿名FTP上传），但是必须仔细考虑这些实例，以避免造成网站安全风险。

因此，一个不错的解决办法则是，按如下所示设置您的权限：

文件夹和目录= 755

单个文件= 644

要设置文件权限，请登录到cPanel的文件管理器或通过FTP连接到服务器。进入内部后，您将看到现有文件权限的列表（如以下使用Filezilla FTP程序生成的示例）：

本示例的最后一列显示当前分配给网站内容的文件夹和文件权限。要在Filezilla中更改这些权限，只需右键单击有问题的文件夹或文件，然后选择“文件权限”选项。这样做将启动一个屏幕，允许您使用一系列复选框分配不同的权限：

尽管您的Web主机或FTP程序的后端可能看起来有些不同，但是更改权限的基本过程仍然相同。

＃10使您的错误消息保持简单（但仍然有帮助）

详细的错误消息可能对内部有所帮助，可帮助您确定出了什么问题，从而知道如何解决。但是，当这些错误消息显示给外部访问者时，它们可以揭示敏感信息，这些信息可以告诉潜在的黑客您网站漏洞的确切位置。 

请非常小心，您在错误消息中提供了哪些信息，因此您不会提供有助于不良演员入侵您的信息。使您的错误消息足够简单，以免它们无意间泄露了太多信息。但是也要避免歧义，因此您的访问者仍然可以从错误消息中了解足够的信息，以了解下一步该怎么做。 

【小结】保护您的网站安全并学习如何防范黑客攻击，这是长期保持网站健康和安全的重要组成部分！如果您已经看到这篇文章，而网站还有可提升的地方，建议不要拖延，第一时间采取这些步骤非常重要！莫要等到被攻击了才后悔莫及！