建立一个新的网站,迁移,或升级品牌的现有网站时,在优先级列表中网站安全很可能很低。这并不罕见,考虑到正在忙于让网站上线的一切。不幸的是,中小企业,甚至是初创企业,都完全有理由像全球运营的企业品牌一样关注安全问题。可能会看到头条新闻关注Target和Sony等品牌的数据泄露事件,但这只是因为初创企业和小规模运营的影响力不够大,不值得新闻报道。统计数据与媒体报道大相径庭。事实上,约有43%的网络攻击针对小企业,其中包括从网络漏洞到网站代码注入、移动应用被入侵等。
而当网络和网站安全遭到破坏时,大多数企业平均需要197天的时间才能检测到它。在这段时间内会造成很多损失,这也是为什么网络犯罪的损失在不断增加。根据Trustwave分享的数据,每年大约有6000亿美元的损失。由于电子商务网站通常处理安全的消费者数据,因此,违规行为造成的损失可能非常大。不要因为运营的网站不那么复杂,就认为很安全。即使是传统的商业网站,可能仍然在使用插件或应用程序来处理基本的用户信息,包括登录凭证。2018年Trustwave全球安全报告发现,100%被测试的网络应用程序至少显示一个安全漏洞,每个应用程序的中位数为11个漏洞。
为什么网站会被黑客攻击
网站安全最重要的一点是,黑客通常不会选择要入侵哪个网站。虽然少数人可能会针对特定的企业品牌或政府网站进行挑战,或者因为黑客主义的问题(与宗教、民族主义、反全球主义、人权等有关,其中面向公众的内容被污损),但在大多数情况下,他们选择入侵的网站都是随机的。
几乎在每种情况下,黑客们都会使用脚本,广泛搜索网站的常见漏洞。而且,除非他们专门寻找挑战,否则他们更可能采取挑战性最小的漏洞,以便快速访问。根据赛门铁克的一项研究,“在过去的三年里,超过3/4的被网站含有未修补的漏洞”,“其中七分之一(15%)在2015年被认为是关键性漏洞”。当他们扫描漏洞时,他们并没有区分企业的规模或年龄。是什么让这么多小企业成为目标,因为小企业主通常不会把安全放在首位。不像大型企业品牌,他们也没有预算来维持一个能够定期监控或维护更新的安全系统的IT部门。Chris Eggleston认为,大多数黑客在攻击网站时,都在寻找三样东西:
劫持SMTP服务器。他们上传一个脚本,利用中继服务器每天发送数百封垃圾邮件。直到虚拟主机商关闭中继服务器。
劫持网站流量。他们会将来自搜索引擎的流量重定向到他们的赚钱网站。这些网站会打上令人迷惑的颜色和徽标,让访问者认为他们来对了地方。
分发恶意软件。是否访问过这样的网站,弹出一条消息说需要更新Flash播放器,点击它时,电脑上最终会出现一个病毒?这就是病毒从被黑客攻击的网站传递的一种方式。通过了解安全如何被破坏,以及黑客在寻找什么,可以更好地了解虚拟主机商使用的安全技术,以及可以做什么来提高自己网站的安全性。关于黑客攻击的相关内容,推荐内容 黑客有哪些攻击方式攻击网站服务器。
安全性通常如何被破坏
安全漏洞在网络应用中很常见,如果认为自己没有问题,应该检查用于开展业务的应用——尤其是那些与网站集成的应用。小企业主使用的Web应用程序的例子包括。
网络分析工具
写作和语法应用程序和插件
SEO插件和应用
电子邮件集成应用程序
第三方社交集成应用
生产力应用
聊天和联系人表格等通信应用
还有大量的其他应用,每个漏洞都有可能危及网站安全。以下是一些最常见的网站漏洞。
SQL 注入——注入代码,授权访问或破坏数据库内容,允许攻击者读取、写入或以其他方式改变数据。
跨站脚本—— 也被称为XSS,这种方法允许攻击者在浏览器中运行脚本,以劫持浏览会话,改变网站内容,并将用户重定向到任何选定的目的地。
身份验证中断——会话管理不善和中断的身份验证使劫持者很容易接管一个活跃的用户会话,并假定用户的身份。
安全配置错误——安全配置错误发生时,黑客或劫持者可以获得各种私人数据或功能,包括完全受损的网站或网络。
虽然这些都是比较常见的漏洞,但还有更多的漏洞可能发生。值得庆幸的是,也有许多方法,信誉良好的虚拟主机公司积极工作,以保持网站和网站服务器托管免受劫持和入侵。推荐更多相关内容可以参考了解 预防黑客攻击如何提高网站安全性的十个方法。
