如果您正在設(shè)計(jì)一個(gè)網(wǎng)站，您將需要在將其發(fā)布到網(wǎng)絡(luò)世界之前選中幾個(gè)框。其中一些框很有趣——提出配色方案、確定頁面布局和選擇創(chuàng)意圖形。但是對(duì)于我們中的許多人來說，有一個(gè)復(fù)選框有點(diǎn)令人沮喪：網(wǎng)站安全。

網(wǎng)站安全并不是最敏感的話題，但對(duì)于任何認(rèn)真對(duì)待網(wǎng)頁設(shè)計(jì)的人來說，它都是至關(guān)重要的知識(shí)。保護(hù)您的網(wǎng)站就像購(gòu)買房屋或汽車的保險(xiǎn)一樣。這并不令人興奮，但防止有價(jià)值的資產(chǎn)被闖入或損壞是非常值得的。

在本文中，設(shè)計(jì)將詳細(xì)介紹網(wǎng)站安全的細(xì)節(jié)，包括您應(yīng)該了解的威脅類型以及保護(hù)網(wǎng)站所需采取的步驟。

您的網(wǎng)站安全綜合指南

究竟什么是網(wǎng)站安全？

您應(yīng)該知道的網(wǎng)絡(luò)安全威脅類型

為什么這有關(guān)系？

如何保護(hù)我自己的網(wǎng)站？

什么是網(wǎng)站安全？

簡(jiǎn)單來說，網(wǎng)站安全是保護(hù)您的網(wǎng)站免受在線攻擊的做法。這些攻擊包括對(duì)您網(wǎng)站的未經(jīng)授權(quán)的訪問、修改、中斷或破壞。

這些攻擊背后的人被稱為黑客。通常，他們的目標(biāo)是將您的網(wǎng)站用作訪問在線數(shù)據(jù)（如聯(lián)系信息、個(gè)人詳細(xì)信息和密碼以及信用卡信息）的工具。

從商業(yè)角度來看，這不僅會(huì)損害您品牌的完整性，還會(huì)使客戶和客戶面臨風(fēng)險(xiǎn)。以一款著名的交易應(yīng)用程序?yàn)槔驮谇皫啄辏麄兊目蛻糁С窒到y(tǒng)被黑客入侵，泄露了大量用戶的電子郵件地址、姓名和電話號(hào)碼。

您應(yīng)該知道的網(wǎng)絡(luò)安全威脅類型

黑客的工具包中有很多工具，因此對(duì)不同類型有廣泛的了解很有幫助，這樣您就可以更好地保護(hù)您的網(wǎng)站。以下是一些最常見的攻擊類型。

跨站點(diǎn)腳本(XSS)： 這種類型的攻擊利用了用戶對(duì)特定站點(diǎn)的信任。它始于黑客通過網(wǎng)站向毫無戒心的用戶發(fā)送惡意代碼。這會(huì)誘使用戶的瀏覽器接受代碼，從而允許黑客訪問用戶的cookie、會(huì)話令牌以及他們與網(wǎng)站共享的任何敏感個(gè)人信息。

SQL注入：攻擊者將特定類型的代碼（稱為SQL代碼）注入網(wǎng)站以利用安全漏洞。這使他們能夠欺騙識(shí)別、訪問和篡改現(xiàn)有數(shù)據(jù)，完全銷毀數(shù)據(jù)，并成為數(shù)據(jù)庫服務(wù)器的管理員。

跨站點(diǎn)請(qǐng)求偽造(CSRF)： 這種類型的攻擊涉及向用戶發(fā)送看似來自網(wǎng)站的請(qǐng)求，例如要求他們更改電子郵件地址或密碼或單擊表單上的按鈕。無辜的用戶可能會(huì)無意中執(zhí)行該操作，從而允許攻擊者滲透該站點(diǎn)。雖然信任對(duì)人際關(guān)系很有好處，但在網(wǎng)站方面不應(yīng)該隨意給予。

拒絕服務(wù)(DoS)： 這種攻擊會(huì)關(guān)閉網(wǎng)絡(luò)，使其用戶無法訪問。它通過使網(wǎng)站充滿流量或向其發(fā)送觸發(fā)崩潰的信息來做到這一點(diǎn)。結(jié)果是合法用戶（例如員工或帳戶持有人）不再有權(quán)訪問該站點(diǎn)。這通常不涉及數(shù)據(jù)盜竊，但確實(shí)會(huì)導(dǎo)致客戶對(duì)企業(yè)失去信任，并且企業(yè)恢復(fù)的成本可能很高。

文件包含： 您可能熟悉允許您將文件上傳到服務(wù)器的網(wǎng)站。事實(shí)證明，這種便利是有代價(jià)的：文件包含攻擊的脆弱性。如果網(wǎng)站沒有得到適當(dāng)?shù)谋Ｗo(hù)，攻擊者可以利用用戶文件作為滲透網(wǎng)站的途徑。這使他們能夠訪問用戶數(shù)據(jù)并為他們提供運(yùn)行自己的代碼的方法。

點(diǎn)擊劫持： 攻擊者將超鏈接隱藏在合法的可點(diǎn)擊內(nèi)容之下。當(dāng)用戶單擊看似無害的內(nèi)容（例如網(wǎng)站上的提交按鈕）時(shí)，他們會(huì)在不知不覺中被路由到一個(gè)狡猾的URL。此技術(shù)可用于捕獲敏感的用戶數(shù)據(jù)，例如登錄憑據(jù)。

目錄遍歷： 這種HTTP攻擊允許黑客訪問受限目錄并執(zhí)行惡意命令。因此，攻擊者可以訪問Web服務(wù)器文件系統(tǒng)的敏感部分。

命令注入： 惡意用戶利用易受攻擊的應(yīng)用程序并在主機(jī)操作系統(tǒng)上執(zhí)行任意系統(tǒng)命令。然后可以使用被劫持應(yīng)用程序的權(quán)限執(zhí)行命令。

網(wǎng)絡(luò)釣魚： 詐騙者假裝是業(yè)務(wù)的一部分聯(lián)系用戶。他們使用公司的名稱和品牌向客戶或帳戶持有人發(fā)送電子郵件，以期獲取個(gè)人信息，例如密碼和信用卡詳細(xì)信息。

審查這些類型的威脅的主要目的是了解您的網(wǎng)站可能易受攻擊的不同方式。如果您對(duì)這份清單感到害怕，請(qǐng)記住，您無需成為成熟的網(wǎng)絡(luò)安全專家。

相反，請(qǐng)嘗試大致了解，以便您知道如何識(shí)別風(fēng)險(xiǎn)，無論它們是采取可疑文件上傳還是網(wǎng)絡(luò)釣魚詐騙的形式。這樣，您將能夠更好地保護(hù)您的網(wǎng)站（設(shè)計(jì)稍后會(huì)詳細(xì)介紹）。

為什么網(wǎng)站安全很重要

讓您的網(wǎng)站被黑不僅僅是一種罕見的厄運(yùn)，就像被閃電擊中一樣。多年來，攻擊變得越來越普遍。事實(shí)上，在新冠病毒大流行期間，網(wǎng)絡(luò)犯罪大幅上升，這在很大程度上是由于網(wǎng)絡(luò)釣魚詐騙的增加。

你為什么要關(guān)心這些不斷上升的數(shù)字？當(dāng)涉及到您的網(wǎng)站時(shí)，攻擊是SEO可能發(fā)生的最糟糕的事情之一。受感染的站點(diǎn)可能會(huì)因黑客攻擊而崩潰，或者如果檢測(cè)到威脅可能會(huì)被暫停?？梢苫顒?dòng)可能導(dǎo)致主機(jī)暫停您的網(wǎng)站或baidu將您列入SEO黑名單。這意味著百度、網(wǎng)絡(luò)瀏覽器和防病毒軟件會(huì)將您的網(wǎng)站標(biāo)記為不安全訪問，從而導(dǎo)致流量大幅下降。

更可怕的是被黑網(wǎng)站可能對(duì)您的整體業(yè)務(wù)產(chǎn)生連鎖反應(yīng)。公司為解決網(wǎng)絡(luò)攻擊而必須投入的時(shí)間、精力和資源是一項(xiàng)巨大的投資損失。每分鐘，網(wǎng)絡(luò)犯罪損失2000萬元，頂級(jí)企業(yè)每分鐘損失200元。不僅存在金錢和信息的實(shí)際盜竊，而且還存在使公司系統(tǒng)重新啟動(dòng)和運(yùn)行的成本。

這些成本的一部分也是由于客戶和業(yè)務(wù)合作伙伴的潛在損失。最近的一項(xiàng)研究發(fā)現(xiàn)，受數(shù)據(jù)泄露影響的用戶中有65%會(huì)因此失去對(duì)公司的信任?？蛻艉唾~戶持有人可能會(huì)發(fā)現(xiàn)自己面臨更緊迫的問題，例如他們的個(gè)人數(shù)據(jù)（例如登錄詳細(xì)信息和財(cái)務(wù)信息）暴露給黑客。

在絕望地舉起雙臂之前，請(qǐng)記住，采取正確的步驟可以大大降低風(fēng)險(xiǎn)。根據(jù)相關(guān)機(jī)構(gòu)一份報(bào)告，在2021年成為威脅受害者的組織認(rèn)為，94%的攻擊是可以避免的。

現(xiàn)在保護(hù)您的網(wǎng)站的十種方法

那么，您需要采取的具體步驟是什么？作為設(shè)計(jì)師或者網(wǎng)站設(shè)計(jì)公司，您可以通過以下方式檢查您的網(wǎng)站是否受到保護(hù)并采取措施使其更加安全。

1.安裝SLL

為了獲得額外的安全層，請(qǐng)將您的HTTPS與SSL證書結(jié)合起來（SSL代表安全套接字層，這是保護(hù)通過站點(diǎn)傳遞的任何敏感數(shù)據(jù)的標(biāo)準(zhǔn)技術(shù)）。僅此一項(xiàng)并不能防止攻擊或惡意軟件傳播，但它確實(shí)增加了一層加密來保證您的網(wǎng)站和用戶數(shù)據(jù)的安全。

SSL對(duì)于電子商務(wù)網(wǎng)站尤其重要，因?yàn)樗鼤?huì)加密敏感的用戶信息，例如姓名、地址和信用卡號(hào)碼。

2.選擇一個(gè)值得信賴的網(wǎng)絡(luò)主機(jī)

并非所有的網(wǎng)絡(luò)主機(jī)都是平等的。一個(gè)好的托管服務(wù)提供商應(yīng)該在保護(hù)您的網(wǎng)站安全方面發(fā)揮積極作用，因此在決定使用Web開發(fā)平臺(tái)之前進(jìn)行研究。

當(dāng)您為您的網(wǎng)站選擇主機(jī)時(shí)，請(qǐng)確保它是您信任的品牌。選擇一種具有內(nèi)置托管和企業(yè)級(jí)安全性。

3.使用強(qiáng)密碼

密碼是您個(gè)人信息的守門人。擁有定期更改且難以破解的密碼是阻止黑客的最快、最簡(jiǎn)單的方法之一。

創(chuàng)建網(wǎng)站登錄時(shí)，請(qǐng)確保避免使用可破解的密碼當(dāng)然，超級(jí)安全的密碼很難記住，但123456或ABCDEF就無法做到這一點(diǎn)。相反，請(qǐng)按照以下提示創(chuàng)建強(qiáng)密碼：

使用3個(gè)不相關(guān)的詞的組合（避免使用您的姓名或其他識(shí)別短語）。

使用隨機(jī)生成的字符序列。

包括大小寫字母、數(shù)字和特殊字符的混合。

瞄準(zhǔn)長(zhǎng)密碼。

4.使用HTTPS

您知道URL開頭的“https://”嗎？確保您的網(wǎng)站具有這一點(diǎn)至關(guān)重要。沒有它，黑客可以攔截頁面內(nèi)容并使用它來收集訪問者的個(gè)人信息。

使用HTTPS協(xié)議可以告訴訪問者他們正在與正確的服務(wù)器進(jìn)行交互，并且沒有任何東西可以更改或攔截該站點(diǎn)。谷歌使用HTTPS協(xié)議獎(jiǎng)勵(lì)網(wǎng)站，因此它也非常適合SEO。

5.使用殺毒軟件

防病毒軟件有助于防止黑客滲透您的計(jì)算機(jī)并將惡意代碼注入您的網(wǎng)站。確保你的所有設(shè)備上都有它，尤其是你用來登錄相關(guān)網(wǎng)站的設(shè)備。有許多著名的防病毒軟件可用。

大多數(shù)選項(xiàng)都提供免費(fèi)和付費(fèi)計(jì)劃，因此請(qǐng)進(jìn)行研究，看看哪個(gè)選項(xiàng)最適合您的需求。

6.維護(hù)一個(gè)最新的網(wǎng)站

網(wǎng)絡(luò)攻擊通過利用網(wǎng)站最脆弱的部分來起作用。“黑客總是在尋找利用軟件漏洞的方法，”網(wǎng)絡(luò)攻擊通常是自動(dòng)化的?！胺缸锓肿邮褂脵C(jī)器人掃描易受攻擊的網(wǎng)站。因此，如果您沒有及時(shí)了解最新的軟件版本，黑客很容易在您采取任何行動(dòng)之前識(shí)別您的網(wǎng)站。

設(shè)計(jì)是一家網(wǎng)站設(shè)計(jì)公司，的專業(yè)不止是在設(shè)計(jì)上，而且在售后維護(hù)方面也非常用心，全方位維護(hù)客戶網(wǎng)站安全，如果需要尋找合作的網(wǎng)頁設(shè)計(jì)公司應(yīng)該全方位考慮。

7.留意可疑活動(dòng)

尋找表明可疑活動(dòng)的線索。以下是注意潛在威脅的方法：

無論您是否認(rèn)識(shí)發(fā)件人，都不要點(diǎn)擊電子郵件中可能可疑的鏈接。

使用公共或開放的互聯(lián)網(wǎng)連接時(shí)要特別注意

如果您在共享空間中的辦公桌，請(qǐng)退出站點(diǎn)或關(guān)閉您的設(shè)備

不要隨意分享敏感信息（更多內(nèi)容見下文）

在謹(jǐn)慎和警覺方面，確保您的同事、客戶和對(duì)您的站點(diǎn)具有管理訪問權(quán)限的任何其他人都在同一頁面上。

8.最小化文件上傳

還記得我們對(duì)文件包含攻擊的討論嗎？許多網(wǎng)站允許用戶上傳文件，例如上傳評(píng)論中的產(chǎn)品圖片。雖然這是一種相當(dāng)普遍的做法，但它是病毒和惡意軟件的潛在途徑。

考慮到這一點(diǎn)，請(qǐng)嘗試盡可能限制文件上傳或完全限制它們。如果您發(fā)現(xiàn)上傳文件的能力是該網(wǎng)站的一項(xiàng)重要功能，您可以通過使用安全的文件上傳系統(tǒng)來降低受到攻擊的風(fēng)險(xiǎn)。

9.手動(dòng)接受網(wǎng)站評(píng)論

一般來說，網(wǎng)站評(píng)論是一件好事，因?yàn)樗鼈兪呛饬繀⑴c度、與網(wǎng)站訪問者互動(dòng)以及建立用戶社區(qū)的好方法。也就是說，您不想在您的網(wǎng)站上發(fā)表任何評(píng)論。垃圾評(píng)論，無論它們來自虛假帳戶還是機(jī)器人，都對(duì)您的SEO不利，并且可能對(duì)您的訪問者有害。如果這些評(píng)論包含鏈接，則尤其如此，其中一些可能包含病毒。

要避免這些類型的評(píng)論，請(qǐng)更改您的網(wǎng)站設(shè)置，以便您需要手動(dòng)批準(zhǔn)所有評(píng)論。這使您可以在垃圾郵件出現(xiàn)在您的網(wǎng)站之前獲得評(píng)論并刪除垃圾郵件。

10.限制用戶訪問

95%的網(wǎng)絡(luò)攻擊是人為錯(cuò)誤造成的。即使有問題的人沒有惡意，他們也很容易犯錯(cuò)誤（例如單擊可疑鏈接），從而使攻擊者能夠訪問您的站點(diǎn)。

要降低此風(fēng)險(xiǎn)，請(qǐng)限制對(duì)您的站點(diǎn)具有后端訪問權(quán)限的人數(shù)。不要只將登錄詳細(xì)信息分發(fā)給任何詢問的人——即使他們是員工。

相反，請(qǐng)確保您只向您信任的經(jīng)過驗(yàn)證的專業(yè)人員授予管理權(quán)限。他們應(yīng)該接受過如何管理安全威脅的全面培訓(xùn)，并且應(yīng)該獲得完成任務(wù)所需的最低訪問權(quán)限，否則請(qǐng)授權(quán)委托給網(wǎng)站設(shè)計(jì)公司維護(hù)管理。