你的网站安全吗?这个新手网站安全清单将帮助您找到答案。
在这份方便的清单中,您不仅将了解中型企业面临的最大安全威胁,还将了解如何抵御这些威胁。最好的部分?这个网站安全清单上的大多数项目都不需要开发人员!继续阅读,开始提高您的网站的安全性!
注:不确定你的网站是否安全?使用我们的免费安全检查程序为了立即找到答案。
1.确保密码安全(并定期更新)
活动项目:使用密码生成器,比如LastPass,为您的网站创建超安全的密码。更好的是,使用LastPass来安全地保存和存储这些密码。设置一个日历提醒,定期更新密码,比如每个月或每个季度。
大约80%的入侵与黑客有关由于密码。您的公司可以通过创建更强大和唯一的登录凭证,并经常更新这些凭证来快速提高其网站的安全性。
虽然您当然可以自己创建密码,但密码生成器可以简化这个过程。
例如,LastPass提供一个密码生成器这允许您指定密码的长度和大小写字母的使用。您还可以决定密码是否应该包含数字和符号。
使用这样的密码生成器来保护你的网站。为了达到最好的效果,请确保定期更换这些密码。例如,您可以每个月或每个季度更新这些凭据以保证站点的安全。
如果你想让你的生活更容易,你可以使用LastPass安全存储所有密码.
2.安装SSL证书
活动项目:购买一个SSL (Secure Sockets Layer)证书(你可以免费得到一个或在任何地方每月从0.80美元到125美元根据您的需要),并在您的网站上使用它来确保发送敏感数据(如信用卡信息)的安全性。一旦您安装了SSL证书,您可以使您的网站更加安全HTTPS.
每个网站安全检查表都包括SSL证书.
下面的视频也是如此。
SSL证书有助于保护您的网站,使数据传输安全。例如,如果有人在您的站点上下了在线订单,您希望保护他们的个人信息,无论是他们的信用卡号、地址还是电话号码。
对于许多在线购物者和商业买家来说,SSL证书也可以充当信任信号。
这是因为安装SSL证书可以升级你在web浏览器中的外观。通常,像谷歌Chrome这样的web浏览器会在带有SSL证书的网站URL旁边显示一个挂锁。然而,如果一个网站没有SSL证书,那么这个挂锁就会被替换为以下文本:不安全。
从你的网站安全检查表中检查这一项并不棘手,只是遵循以下步骤:
- 从信誉良好的供应商购买SSL证书,比如GoDaddy,科摩多,或赛门铁克
- 按照SSL证书提供程序的步骤安装SSL证书
- 为您的页面实现适当的重定向,从HTTP, HTTPS
- 验证SSL证书并重定向谷歌搜索控制台
这取决于你的网页开发经验,以及搜索引擎优化,您可能有办法自行完成此清单项目,而无需公司开发人员的帮助。
3.自动化的网站备份
活动项目:建立一个创建网站备份的时间表,或者通过你的网站托管提供商自动化这个过程,比如GoDaddy.你也可以使用工具简单的cPanel的备份而且eBackupper,以及WordPress插件,比如UpdraftPlus而且VaultPress,以保存和备份您的网站。
说到网站安全,备份是你最好的朋友。
有了网站的备份,你就可以快速应对一系列问题,无论是页面损坏还是网站被黑客入侵。然而,问题是许多企业没有按时备份他们的站点。不过,解决这个问题很容易。自动化你的网站备份。
有一些工具可以定期备份你的网站,包括:
如果你用的是CMS,比如WordPress,你可以用一个插件自动备份网站,比如UpdraftPlus,总保养,VaultPress.如果您使用这些插件,请将它们更新到最新版本。
4.限制用户的权限
活动项目:限制拥有用户权限的访问和修改网站的人数。中的用户权限设置内容管理系统(CMS)比如WordPress,可以根据需要访问你的网站,比如发布内容而不是修改导航菜单。
让每个人都能访问和更新你的网站会造成一个安全漏洞,特别是如果他们没有遵守网站安全清单上的其他项目,比如定期更新密码。这就是为什么为了最好的站点安全性,您应该限制用户权限的原因。
例如,如果你使用像WordPress这样的CMS,你的企业应该使用不同的用户权限级别,如管理员、编辑和作者。这些角色允许您立即设置用户权限,比如安装插件、发布帖子等等。
如果你的公司不使用CMS,那么你会想要限制对网站登录凭证的访问。例如,如果你使用LastPass这样的密码管理软件,你就不会和公司里的其他人分享这些证书。
5.安全的在线签出
活动项目:使用地址验证系统(AVS)以及针对所有信用卡结帐的信用卡验证值(CVV)表单字段升级在线结帐安全性。受信任的AVS提供商包括梅丽莎而且Loqate.使用这样的平台Shopify也可以帮助您实现CVV字段自动。
你们公司接受网上支付吗?那么你需要一辆自动驾驶汽车。
有了AVS,你的公司可以为你的在线结账过程提供额外的安全级别。这些系统的工作原理是防止欺诈支付,这不仅会给你的业务带来麻烦,还会导致收入损失。
一些有信誉的AVS供应商包括:
除了使用AVS,您的公司还应该添加CVV表格字段到您的结帐过程。
使用CVV表单字段,您需要购物者输入他们的信用卡安全代码,这通常出现在卡的背面。拥有CVV表单字段提供了防止信用卡欺诈的另一层保护。
根据你的业务如何在网上销售,您的网站可能已经使用CVV表单字段。Shopify这是一个电子商务平台,允许公司建立一个定制的在线商店,包括CVV表单字段,这使得提高你的网站的安全性很容易。
6.更新插件、CMS等
活动项目:安装最新版本的CMS,以及插件、附加组件和任何其他帮助运营网站的工具和服务。设置一个提醒,以不断检查更新或打开更新通知,如果可能的话,以保持您的网站的安全和免受安全漏洞。
如果你像大多数企业一样,你可能依赖于像WordPress这样的CMS来运行你的网站。
使用像WordPress这样的CMS,你可以访问各种各样的工具和插件,使你的生活更容易。Yoast SEO例如,是一个帮助公司的插件为搜索引擎优化他们的网站,这可以帮助他们吸引更多的网站流量通过在搜索结果中排名靠前。
然而,问题是许多企业最终使用过时的、不安全的WordPress插件。
当这种情况发生时,你的网站变得容易受到攻击,这可能导致客户数据被盗,失去客户忠诚度,并造成重大经济损失。这就是为什么作为网站安全最佳实践的一部分,更新WordPress插件并卸载过时的插件是至关重要的。
如果你的网站运行在另一个允许插件的CMS上,遵循相同的过程。
无论你的公司使用什么CMS,你都应该优先更新你的CMS。例如,当新版本发布时,在一两周后安装最新版本。这种方法将允许您获得最新的安全保护,但不会出现最初发布时出现的错误。
7.投资安装反恶意软件
活动项目:安装反恶意软件或恶意软件检测软件来保护你的网站不受恶意软件感染,这可能会导致客户数据被盗、金钱损失等等。一些值得信赖的恶意软件供应商(免费和付费)包括Quttera,SUCURI,阿斯特拉安全.
恶意软件是一个严重的网站安全问题。每一天,超过35万个恶意程序被发现,这就是为什么反恶意软件对在线运营的企业至关重要,即使他们不接受在线支付。
使用恶意软件检测软件来保护你的公司和客户,比如:
虽然你会找到一些免费的反恶意软件,但你可能需要一个付费程序来让你的网站完全覆盖。把这个成本看作是一项投资,因为它可以保护你的业务、品牌和客户。
8.获取DDoS缓解服务
活动项目:投资一个分布式拒绝服务(DDoS)缓解服务,以及一个有内置的抵御DDoS攻击保护的web主机。DDoS缓解服务的提供商包括Akamai,Cloudflare,Nexusguard.
取决于你的网络主机提供商,你可能已经有DDoS保护。
有了DDoS保护,你的企业可以抵御DDoS攻击,这涉及到黑客超载你的网站带宽,使你的网站无法访问。这类攻击发生在小品牌和知名品牌身上,所以不要低估DDoS保护的必要性。
提供DDoS保护或缓解服务的几家值得信赖的公司包括:
与这些公司合作,不仅可以让你的网站保持活跃,而且安全。
9.最小化XSS漏洞
活动项目:降低网站代码中的安全漏洞,也称为跨站脚本(XXS)漏洞,通过使用类似于HTML净化器.如果你的网站不使用HTML,你的网站开发人员可以添加一串代码来减少漏洞。
每个网站安全清单都应该包括减少跨站漏洞的项目。
这个任务很可能需要开发人员的帮助防止黑客防止在你的网站代码中直接插入恶意代码。如果黑客确实在你的网站上添加了恶意代码,它不仅会伤害网站访问者,而且很难删除。
幸运的是,开发人员可以使用这样的工具HTML净化器“清理”和“消毒”你网站的HTML代码,这将删除任何恶意代码。对于非html网站,开发人员还可以在网站的每个页面上添加一段代码,以减少XSS漏洞。
10.防范SQL注入攻击
活动项目:为了防止SQL注入攻击,可以采取一些主动步骤,包括限制用户权限、实现数据存储过程、使用白名单输入验证等,从而防止黑客窃取用户数据。这些步骤可能需要开发人员的帮助。
把您的开发人员带回来,因为您还需要他们来完成这个站点安全性检查清单项!虽然不像其他安全漏洞那么常见,SQL注入攻击可以通过接管数据库服务器和窃取敏感的客户数据(从地址到信用卡号码)造成同样大的破坏。
这就是为什么实现一些针对SQL注入攻击的保护是值得的,包括:
- 使用白名单输入验证,这样数据库就可以检测到未经授权的输入
- 限制服务器数据库的用户权限
- 创建供用户引用的存储过程
- 建立参数化查询,这样数据库就可以区分代码和数据
你的开发人员可以帮助你审查这些选项,并为你的网站选择最好的选项。
你的网站有多安全?现在找到了!
与我们的免费网站安全检查,你可以立即知道你的网站有多安全!
现在就试试,对你的网站的安全性进行全面评估。如果你需要帮助来处理你的结果,WebFX有一个内部的网页开发团队。他们可以为您的企业创建一个自定义的网站安全清单,以及为您完成它。
在线联系我们或致电888-601-5359如果你想了解更多!
