10个威胁您网站安全的论点
没有人希望自己的网站被黑客攻击。然而,几乎每个人都有一些理由忽视安全措施。本文将讨论“黑客”,然而“破解者”可能是一个更好的名字。黑客是巧妙地使用工具(例如软件)来实现与正常使用不同的目的。破解是指未经授权进入网站执行所有者不允许的操作。由于破解通常被称为“黑客”,因此我不情愿在这个文章中使用“黑客”这个词。
1. "安全性对于大型知名网站很重要"
您的网站规模小,访问者不多。您没有网店,也不处理信用卡交易。因此,您的网站对知名针对大型网站的黑客来说并不那么有趣。
遗憾的是,事实并非如此。每个网站和(网络)服务器都对罪犯具有吸引力。他们使用自动化脚本,这些脚本不会区分网站的大小或重要性。黑客攻击网站有几个原因
- 篡改 - 在您的网站上涂鸦或发布政治性信息;
- 钓鱼 - 安装软件以收集访问者的密码和信用卡信息;
- 垃圾邮件 - 发送垃圾邮件;
- 传播病毒和“特洛伊木马”;
- 加入僵尸网络(=被黑客攻击的计算机网络,由犯罪分子远程控制)以进行分布式拒绝服务(DDOS)攻击。
* 每个网站都对黑客具有吸引力!
2. “更新?”
您没有定期更新,因为
- 您认为这不重要(参见论点#1);
- 您无法自己更新;
- 您的网站上有一些核心破解,因此无法更新;
- ...(在此处输入您自己的无理借口)。
所有软件都可能存在缺陷。无论是您计算机上的软件还是服务器上的软件。无论是Joomla还是第三方扩展。软件开发商提供定期更新。由于安全问题而发布的更新补丁需要迅速安装。自Joomla 2.5以来,单点更新功能使更新变得更容易。现在许多第三方扩展都支持从控制面板进行更新。
* 更新Joomla和扩展非常重要!
3. "我在互联网上某处找到了这个软件"
您已经从一个非常有帮助的网站上下载了一个Joomla扩展或模板。或者,您只是从免费文件共享网站上下载了一个商业扩展,只是为了在购买前测试一下。测试成功后,您肯定会购买付费版本!保证的!
- 仅从原始开发者处下载软件,永远如此!这是降低被篡改软件风险的唯一途径。
- 可以从文件共享网站免费下载的付费扩展或模板通常包含隐藏的调整。有时这些调整只是添加了一些Google不喜欢的、不想要的隐藏垃圾链接到您的网站。有时它们还包含黑客用来轻易访问您网站的后门脚本。不要使用免费网站上的商业软件进行测试。黑客不会等到您测试完毕并准备好购买原始商业扩展……
* 仅从原始来源下载软件。
4. "我的托管提供商已经备份了我的网站"
并且他们相当规律地这样做,那么您为什么还要自己备份呢?
- 一个好的备份是已经成功测试过的备份(例如,在本地Web服务器上安装)。您是否测试过您托管公司的备份?
- 如果您的托管公司突然破产了怎么办?或者如果您的服务器被FBI、IRS或其他政府机构查封,仅仅因为同一服务器上的另一个共享托管客户在其网站上做了非法事情怎么办?
* 在您的托管提供商独立地定期创建备份(例如,使用Akeeba备份),并将它们存储在异地位置。
5. "我已经找到了一些便宜的托管服务"
通过“吃多少算多少”的超级便宜网站托管公司,您能够以每月一美元/欧元/英镑的价格获得大量网站空间和文件托管。
- 不要只看托管服务的价格。质量,尤其是关于安全,非常重要。向其他社区成员和/或您的Joomla开发者/实施者咨询。
- 选择一个专注于安全的托管公司。例如,他们使用suPHP进行共享托管。
- 确保您可以从Joomla管理员面板轻松更新Joomla和第三方扩展(如果不行,更换托管商)。
* 价格可能很昂贵,所以请确保您有一个了解Joomla的优质托管服务提供商。
6. "我很快就会使用这个扩展"
您可以使用第三方扩展轻松扩展Joomla。为什么您不安装您很快就会需要的所有有用扩展呢?下个月您就会开始使用它们。
- 安装尽可能多的扩展只会招致三重双倍麻烦。您安装的扩展越多,您需要更新(见2)的次数就越多/越频繁。
- 仅安装您现在需要的,并卸载未使用的扩展(在备份后)。
* 只允许您当前实际使用的软件(扩展)在您的网站上。
7. "这个扩展似乎很有用"
但您只有在安装和测试后才会知道。
- 不要将您的网站用作测试环境。
- 首先在测试环境中测试新的扩展,例如,您在本地安装(使用XAMPP)的网站副本。
* 在测试环境中测试软件,而不是在您的实时网站上。
8. "安装只有在权限设置为777时才可能"
安装扩展或上传图片失败,只能通过将文件夹的权限设置为777来解决。您知道这是不安全的,但您表示您将在之后将其权限改回755.
- 777非常不安全,即使您是暂时这样做。您不会是第一个忘记将其改回并遭到黑客攻击的人。
- 重新阅读借口5(“我已经找到了一些便宜的托管服务”)并选择另一个托管提供商。
* 不安全的设置,即使是临时使用,也是不安全的。
9. "我因为所有那些不同的密码而快要疯了"
所以,你已经意识到,从安全的角度来看,你应该为不同的网站使用不同的密码。很好!你尽可能多地这样做,但你将那些不同的密码存储在浏览器和FTP客户端中。
- 类似FileZilla的FTP软件的配置文件是“纯文本”,密码以未加密的形式存储。已知的Windows病毒或特洛伊木马会寻找FileZilla的配置文件并将其发送给犯罪分子。然后他们会黑客你的网站。
* 不要存储未加密的密码
10. "我已经注意到了上面提到的一切"
所以,你已经清楚地了解上述所有安全问题。太好了!然而,你考虑过HTTP、FTP和电子邮件流量吗?这些流量是未加密的!用户名和密码以纯文本形式通过互联网发送。
- 不要使用任何开放的Wi-Fi网络。是的,使用这些开放的Wi-Fi网络连接到互联网是很方便的。但记住,你做的每一件事都可能被同一网络上的其他人监控。
- 即使在“安全”的以太网网络中,未加密的流量也是不安全的。在以太网网络协议中,所有连接的设备都会监听所有传输的数据包,并只使用那些指向它们的数据包。但这并不能阻止人们监听所有数据包(“网络流量嗅探”)。
- Joomla登录表单通常在没有https的情况下发送其输入,不加密(通过网站或管理员部分)。
- 使用安全的网络通信协议HTTPS(浏览器)、SFTP(FTP)和TLS(电子邮件)以及SSH。
* 互联网流量通常是未加密的,用户名和密码可以被其他人读取。
在Joomla社区杂志上发表的一些文章代表了作者对特定主题的个人观点或经验,可能不代表Joomla项目的官方立场。
通过接受,您将访问https://magazine.joomla.net.cn/外部第三方提供的服务。
评论