本文概述
在所有可用的Web托管类型中, 共享托管是最常见且最容易受到安全问题的影响。
了解如何保护自己。
面对现实吧:当涉及到网络安全主题时, 我们大多数人都喜欢拒绝接受。 “我太小了, 无法被黑客入侵, “”我知道我并不是那么不幸, “”有更多时间我们会看到的。” –我们可以做些借口来逃避苦苦挣扎的借口没有尽头, 强化你的网站安全的乏味工作。
是的, 即使想到创建备份也足以使我们入睡。
那么, 什么可以促使我们更加重视安全?
也许在我们的墙上贴上世界上最具破坏力的骇客的细节?但后来, 我的想法变得渺小, 无法接受。我认为一个想法可以用作在某个地方运行的计数器, 该计数器可以显示你投入该公司或你网站中的小时数。如果已经过去了五年(假设你平均每天花15个小时在公司中工作), 那么如果你的网站是15 x 30 x 12 x 5 = 27, 000小时的工作量, 那么该工作量将立即耗尽。被黑, 所有数据都被破坏!
尽管这篇文章与习惯和动机无关, 但我认为应该进行快速讨论。如果那并没有吓到你和激励你, 我不知道会怎样。 ????
无论如何, 对于那些已经足够担心或总体上担心其安全性的人, 让我们继续进行下一步, 以使共享托管帐户更安全。
请注意:这是一个共享的托管帐户, 我们在这里是在谈论, 而不是虚拟或物理服务器(甚至是它们的集合)。独立服务器是一个完全不同的球类游戏, 而在这篇文章中, 我针对的是收入不依赖于数字资产的大多数非技术人员。
创建(确保)常规备份
很难相信备份可以连接到安全性上, 但是确实可以。
通常, 骇客攻击非常严重, 以至于它们会抹掉你的数据。有时, 尽管经过了最佳的专业清除, 该恶意代码却深藏在根基中并不断出现(我什至无法开始解释在客户端的WordPress网站上发生了多少次我!)。
在这种情况下, 没有什么比按”恢复”按钮更好的了:转到一个曾经为你工作的备份, 擦拭所有内容, 重新设置所有内容并将数据重新导入。你输了什么?自备份以来收集的数据。你得到什么?整个生意!
就是说, 关于备份有几件事要牢记。
恢复
如果没有提供快速而可预测的恢复的准备, 则备份毫无意义。你的共享托管服务提供商可能具有还原选项, 但是你确定它可以正常工作吗?
如果没有还原按钮, 你知道如何将所有内容都备份吗?
一定会感到惊讶, 因为随着时间的推移, 你会收集大量数据, 这可能会给恢复带来痛苦。然后, 还需要考虑其他因素:数据库版本, 软件版本, PHP版本(如果正在运行PHP网站, 则是), 这些版本的兼容性等等。你很有可能没有技能或精力去参与所有这些工作。
如果你不这样做, 我强烈建议你选择一项管理服务, 即使它看起来很昂贵, 它也会为你提供一切服务。另一方面, 如果你有信心可以完成这项工作, 那么我必须要求你进行定期排练(例如, 每六个月进行一次)–相信我, 无论专家多少, 总有事情要去做继续。
如果你正在寻找可靠的共享主机来构建WordPress, Joomla, Magento网站, 这些站点每天提供备份, 那么请尝试使用SiteGround。
频率
你应该多久备份一次?这里有两件事要考虑:收集的数据的大小和业务的重要性。
假设你经营公司总共需要40 GB的数据。如果你安排每日备份, 则在第一个月内将使用40 x 30 = 1200 GB或1.2 TB的数据。
到第一季度末, 它的容量将增长到3.6 TB-无论你选择在何处存储此数据量, 都可以保证在口袋中有一个空洞。
资料来源:taylorirrigation.com
解决方案?
丢弃早于特定持续时间的数据。现在, 持续时间是多少, 完全取决于你的业务, 尽管在大多数情况下, 上一两个月进行一次每周两次的备份已绰绰有余。
即使那样, 备份的账单也不是一件容易的事, 你需要确保备份的是有用数据, 并且也要以可重用的形式进行备份。否则, 你知道风险。 。 。 ????
拥抱两因素认证
对于不了解此主意的人, 两因素身份验证意味着使用两步过程来验证用户, 然后再登录并移交the绳(此处有更多详细信息)。
资料来源:shahmeeramir.com
为什么?
仅因为如果有人偶然猜测或以其他方式窃取了你的密码并尝试从其计算机登录, 他们将被要求证明其身份。
系统可能会要求他们回答一个秘密问题, 键入通过SMS或电子邮件发送的OTP, 要求他们选择喜欢的图像或使用其他方法来加强身份。坦白地说, 鉴于某些人选择密码的能力很差(不, s1mpled00d不是一个强密码), 并且基于浏览器的黑客检索你的密码非常容易, 因此最好设置两因素身份验证。
对于WordPress网站, 你可以选择几个插件, 从而使任务非常轻松, 快速。
避免不受信任的来源
这是应该与天空的颜色一样明显的另一点(很明显, 不是吗?), 但是正如在人类世界中发生的那样, 情绪很快就占据了上风。
你想快速推出一项功能, 而你却遇到了可以提供你所需要的资源的来源, 甚至是免费的。演示很棒, UX令人振奋-你还需要什么?
没那么快, 小家伙!第三方来源可能是一些麻烦问题的来源(并且经常是)–它们可能包含恶意代码, 这些代码窃取你保存的密码或信用卡信息(在移动应用程序上, 恶意破坏代码可以做的是吓人!), 否则它们的编码可能不正确, 因此一旦嵌入, 它们就会成为你网站安全性的薄弱环节。
而且, 如果开发人员说他们已经通过了代码并获得了批准, 请不要听他们的话。安全性世界极度扭曲, 每天都会暴露出难以置信的狡猾攻击(这是谦虚序列化的一个例子( )和unserialize()函数(可以在PHP中进行操作以允许远程执行代码)。
始终从受信任的来源获取插件, 主题, 库等。对于WordPress用户, 这意味着坚持使用正式可用的插件(因为它们是残酷的, 必须严格检查代码质量和安全性), 其他平台也是如此。
再一次, 在你感到无法控制的抢购该插件并竞跑的冲动之前, 请考虑一下你面临的总小时数。
更强的密码
我们想出的”强”密码的问题在于, 它们绝不是安全的。
在对你的个人生活有所了解并借助词典攻击的情况下, 打开外壳的几率非常高。
解决方案?
我建议你使用免费和可靠的服务, 例如LastPass的密码生成器, 该服务可让你选择密码的复杂程度和冗长。请不要轻易使用该工具-使它的肌肉最大程度地伸展。
忘记拥有一个可以记住的密码了-不, 那些日子早已一去不复返了。可以记住的密码很容易破解。相反, 让密码生成器旋转几次, 然后解决使你的胃转弯的问题。
这是我收到的一些建议(密码长度设置为20个字符):
- rfg $ t ^ [电子邮件保护]
- 1sNYhBXrYJ2IW ^ [受电子邮件保护]
- Plg6#YicW%bh&UzVpp#Z
- f95 ^ * sMm592OwQcg和QZi
丑陋?非常。安全?非常!
最后, 如果你有一个允许其他人创建帐户的网站, 请确保你强制执行密码验证, 并拒绝接受任何不可怕的内容。是的, 新的贡献者的意思很好, 但是正如他们所说, 通往地狱的道路充满了良好的意愿。 ??
定期更新软件
如果你的共享主机帐户为你提供了一个管理面板, 允许你升级已安装的软件, 则强烈建议你这样做。
为什么?这样做不是因为感觉很好, 而是因为发布了新软件来很大程度上弥补了先前版本中发现的安全漏洞(啊哈!现在你知道为什么Windows如此迫切地希望你继续更新)。
请不要掉以轻心(或者实际上, 本文中的任何建议:D)。由于正在运行旧软件, 因此无法确定正在安装定时炸弹的安装, 应用, 服务器和设备的数量。
如果你对此不屑一顾, 那我与你同在-不必不断检查, 测试, 更新和丢弃不起作用的内容, 这无比痛苦。但这是我们对数字基础设施支付的”税”-我们的数字财产比我们过去习惯的其他东西敏感得多, 功能更强大, 因此需要特别注意。
再一次, 如果你负担得起, 请选择托管产品。
选择一个更安全的托管服务提供商
并非所有托管服务提供商都是平等创建的, 在这个积极的广告和联盟营销的世界中, 很难将好人与坏人区分开。
那么, 你如何确定哪个托管服务提供商”更好”?
好吧, 我希望我有一个神奇的准绳, 但我没有。
托管基础设施是复杂的野兽, 因此评级, 评论, 网站设计或客户友好度无法提供良好的指标。但是我要说的是:如果你遇到问题, 请不要因为尝试新事物而感到害羞。如果有的话, 我建议你远离出售域名和托管的非常老, 非常大的公司(你知道我指的是谁, 不是吗!;-)), 而应该给一些年轻的人一个机会, 饥饿的公司。
我不能超额销售。
改用更安全, 性能更好的服务提供商可以每月节省数小时的头痛和不眠之夜。
我有几个朋友运行着内容驱动的WordPress网站, 他们的网站一旦采取大胆(痛苦的)步骤进行切换, 其网站的麻烦就消失了, 而且多年来没有一个问题。他们说网站缓慢和停机等琐事不值得他们花时间, 我认为这是对的。 ????
使用DDoS保护
网络的问题在于它是”万维网”。任何地方的任何人都可以访问你的网站, 或尝试闯入。
甚至是机器人。
现在, 如果你的网站每小时获得数千次访问, 那么有99%的机器人正试图找到一种方法, 那么你将面临一个麻烦-这些无用的请求不仅会消耗系统资源, 还会消耗掉系统资源。配额中的带宽。
我知道共享托管网站声称”无限”带宽, 但是相信我, 没有什么是无限的。
资料来源:britannica.com
即使我们假设他们每个月都会提供无限量的数据传输, 但不要忘记连接所有设备的物理网络容量有限。换句话说, 你的网站可以同时服务的用户数量是有限的, 因此, 即使你每月的使用量可能是无限的, 你的网站对于用户而言也总是很慢或很慢。
还有谁想访问这样的网站, 对吗?
通常, 攻击者通过控制多台计算机并让它们访问目标网站来组织这种攻击(就你所知, 你的计算机已经不愿意参与这样的攻击)。
资料来源:comodo.com
我刚刚描述的场景在技术上称为分布式拒绝服务(DDoS)攻击(此处有更多详细信息), 它仍然是最令人沮丧的攻击形式之一, 因为它与大量向你的请求发出请求的用户几乎没有区别。网站。
也就是说, 诸如Cloudflare, SUCURI之类的某些公司已经在其周围构建了出色的防御系统, 该系统可以根据过去的流量模式进行智能分析并阻止DDoS攻击。
同样, 对于许多人来说, 这将是昂贵的, 但是随后, 你必须自己决定是否冒失去所有业务的风险是值得的。
云防火墙
对于那些不知道的人来说, 防火墙只是在你的计算机和网络上运行的一部分软件, 它会根据特定规则阻止或允许流量。现在很明显, 什么是”云”防火墙, 但这是一张绝对值一千个字的图片。 ????
资料来源:webscale.com
如果你询问我, 与所有其他措施的总和相比, 配置正确的防火墙在保护数字资产方面的作用更大。如果技术巨头的网络无法渗透, 则可以归功于他们可怕的防火墙, 它们会主动过滤所有传入和传出的流量。如果攻击者甚至试图探测漏洞, 结果将立即列入黑名单, 这将使其非常非常难以侵入或使网络瘫痪。
这是我们推荐的最好的防火墙。同样, 如果你认为价格昂贵, 请记住柜台!
你可以采取许多其他措施来使事情”更安全”, 但是我认为, 如果你认真对待本文, 你将可以避免99.9%的可能令人尴尬的攻击和黑客。
这对于WordPress用户尤其如此, 因为它在设计上不是一个非常安全的平台。即使你拥有纯HTML网站, 也请记住, DDoS攻击可能会同时破坏用户, 托管服务提供商和你的口味。
换句话说, 只有偏执狂才能幸存(如果你感兴趣的话, 还有一本名字不错的书)! ????
评论前必须登录!
注册