身为一个网站搭建者,肯定不希望自己的网站经常被莫名其妙的攻击导致瘫痪,因而造成客户流失。如何防止自己的网站被攻击,从企业网站建设的初期,就应当部署这些安全对策,当你的网站使用以下3个方法之后,安全性将会大幅度提高:
1. 启用 2FA 以防止暴力攻击
蛮力攻击,尤其是在您网站的管理员帐户上,可以让黑客完全访问您网站的后端。在那里,他们以各种形式造成严重破坏,包括窃取数据、隐藏恶意软件或破坏内容。推荐阅读:《常见的网站安全功能和安全隐患(一)》
阻止蛮力攻击的一种快速方法是在您的站点上实施 2FA。这种安全方法要求用户在授予他们访问您网站的权限之前以多种方式验证他们的身份。
每个用户仍然有一个用户名和密码。但是,他们还将设置辅助身份验证方法。一些最常见的包括:
- 包含用户必须在您的网站上输入的代码的短信
- 包含用户必须在您的网站上输入的代码的电子邮件
- 将发送推送通知要求用户确认其登录尝试的应用程序
您可以将 2FA 配置为适用于每次登录尝试或仅适用于来自不熟悉 IP 地址的登录尝试。无论哪种方式,黑客都需要有效用户的登录凭据,以及他们的电子邮件密码或他们的物理智能手机才能进入您的网站——这种情况不太可能发生。
根据您使用的内容管理系统,有多种方法可以实现 2FA。Drupal、WordPress和Magento都有 2FA 设置或扩展。
您可能还想为您的托管账户设置 2FA。毕竟,它包含您的帐单信息以及有关如何访问您的服务器的详细信息。
2. 使用 Web 应用程序防火墙 (WAF) 防止 SQL 注入
当恶意行为者将 SQL 代码输入您网站上的表单时,就会发生 SQL 注入。这可能包括您的登录页面、联系表格,甚至是您博客文章的评论部分。
提交表单后,您的数据库会处理输入。这是黑客向您的数据库添加或运行恶意代码的一种非常简单的方法。在某些情况下,这会返回黑客想要的敏感数据,而在其他情况下,它可能会完全破坏您的数据库。推荐阅读:《提高网站安全和性能的顶级虚拟主机附加网站组件》
防止 SQL 注入的最简单方法之一是设置 WAF。您的防火墙将过滤掉任何恶意字符串,以便 SQL 注入永远不会到达您的数据库。
3.避免在您的网站上显示详细的错误消息
详细的错误消息有助于解决您网站上的问题以及用于开发目的。但是,他们也可以与黑客共享您网站的漏洞,然后黑客可以利用这些漏洞并获得对您网站的访问权限。
这是一个例子。假设恶意用户尝试访问他们无权访问的站点目录中的文件。如果生成的错误消息只是简单地显示“找不到文件”,则攻击者没有任何其他信息可以帮助他们实现目标。
但是,诸如“访问被拒绝”之类的错误消息会告诉用户他们已经找到了文件的位置,并且只需要一种方法来闯入以检索他们想要的数据。他们也可能会触发其他错误消息,以了解有关您网站目录结构的更多信息。
自己触发错误消息是一种简单的方法来测试它们是否会泄露可能对黑客有益的信息。但是,开发人员进行详细的代码审查是完全确定更复杂的错误不会共享关键细节的唯一方法。
一个解决方案是防止 PHP 错误显示在用户的浏览器中。您可以通过将以下指令添加到您的 .htaccess文件来完成此操作:
php_flag display_errors 关闭
当然,您需要记住在完成后保存更改。
以上就是3 种保护您的网站免受恶意攻击的方法全部内容。推荐相关阅读:《WordPress网站安全防护插件Nintechnet》
