7折
减价出售
¥799
9 种常见的网站安全威胁(以及如何应对它们)
很抱歉向您透露,但您的网站不安全。这不一定是因为您做了什么,而仅仅是因为互联网上没有什么是完全安全的。每个网站都面临安全威胁,这些威胁可能会使它们瘫痪、损坏或更糟。
这是坏消息。一线希望是,您可以采取很多措施来应对这些威胁,第一步是意识到它们的存在。毕竟,您只能保护自己免受您知道可能构成风险的事情的影响。
为了帮助您做到这一点,本文将介绍 WordPress 及其他领域的常见网站安全威胁。我们将讨论威胁是什么、它们如何工作,以及您可以采取哪些措施来防止它们发生。当您阅读完毕后,我们希望您觉得有能力确保您的 WordPress 网站安全并免受伤害,这样您就可以专注于真正重要的事情。
为什么要关心网站安全威胁?
您可能的第一反应是问自己这是否与您相关。当然,您经常听说这些大数据泄露和黑客攻击,但这种事情通常不只发生在大公司身上吗?你知道,你的 Facebook、Twitter、Equifaxes 和 Yahoos——拥有值得窃取的信息的企业。
很抱歉戳破了你的泡沫,但仅仅因为你不是一家价值百万美元的公司,仍然有很多人有兴趣关闭或破坏你的网站。
仅在 2022 年,全球网络攻击就增加了 38%,根据 Verizon 2019 年的一份报告,小型企业是头号目标,占所有数据泄露的 43%。当他们成为网络攻击的受害者时,这些企业平均会损失 25,000 美元。事实上,根据联邦调查局的数据,2022 年仅在美国,网络犯罪损失就达到 102 亿美元。
然而,这不仅仅是处理和清理攻击的直接成本。您还要付出客户流失、停机、工作中断、客户之间失去信任、被搜索引擎阻止等原因的代价。
因此,即使作为一个小型网站,您也可能成为目标。这尤其是因为大多数攻击是由扫描网络漏洞直到找到某些东西的程序自动发起的。所以,如果你给他们留下一个机会,就会有人试图利用它。
想知道如何保护自己吗?让我们回顾一下一些最常见的安全威胁。
网站安全威胁 #1:网络钓鱼
网络钓鱼是指黑客试图让您访问恶意网站、点击危险链接、下载受污染的附件或放弃敏感信息,例如您的网站登录信息。其中大多数以假装来自合法来源的电子邮件的形式发生,但是,您也可以通过文本、信使应用程序或虚假社交登录页面接收网络钓鱼消息。
网络钓鱼的潜在危险
通过网络钓鱼获取您的登录信息可以为攻击者节省大量时间。他们不必费力地尝试猜测和暴力破解进入您的网站,只需使用绝对有效的凭据即可。
有了这些,他们就可以自由支配您的网站,特别是如果凭据具有很高的用户权限。他们可以创建新用户、添加内容和链接、作文件、创建后门,甚至运行代码。此外,如果您的网站上保存了敏感信息,例如在线商店中的客户数据,黑客也可以访问这些信息。
当然,如果这种情况发生并公开,那对你的声誉来说是一个真正的打击。此外,根据您运营的隐私法,它可能会被处以额外的罚款。
如何处理
防止网络钓鱼攻击的最佳方法是提高对网络钓鱼攻击的认识。如果您收到任何要求您提供敏感信息的消息,它应该会立即让您暂停。不要发回任何内容,不要点击任何链接,也不要下载并执行附件。至少,检查发件人电子邮件地址是否合法。此外,对网络钓鱼策略进行自我教育,并对公司中的其他人做同样的事情。
网站安全威胁 #2:(D)DoS 攻击
DoS 代表“拒绝服务”,即有人试图通过大量非法流量来关闭您的网站。目标是用请求压垮您的服务器,使其无法再应对并停止工作。
DoS 攻击通常通过僵尸网络进行,这意味着计算机已被病毒或特洛伊木马渗透,黑客可以远程指挥。在这种情况下,您还谈到了“分布式拒绝服务”或 DDoS。
此类攻击旨在损害企业或网站或勒索金钱。它们也是出于意识形态原因进行的,因为攻击者不同意相关网站的代表性或因为企业发表的公开声明。但是,在其他情况下,DDoS 攻击也可以用作转移注意力,以在黑客试图闯入您的网站时分散您的注意力。
结果是什么?
DDoS 攻击的影响是相关网站变得无响应,真实客户和访问者无法访问。服务器有太多工作要做,无法正确处理访问,并且对于合法访问者来说加载速度非常慢或根本不加载。
当然,对于大多数企业来说,网站是他们的主要资产之一。当它变得无法访问时,它会导致业务和收入的损失。DDoS 攻击也会损害您的声誉,因为一些访问者会认为您网站的质量根本不好。
如何防范 DDoS 攻击
应对此类网站威胁的最佳方法之一是以防火墙或 Web 应用程序防火墙的形式添加另一个安全层。这些旨在在恶意流量到达您的网站之前将其过滤掉。这样,攻击甚至不会到达您的网站,也无法造成损害。此外,如果 DDoS 攻击只是分散入侵的注意力,防火墙也会为此提供保护。这里的优秀提供商是 Sucuri 和 Cloudflare。
保护自己免受此网站安全威胁的另一项不错的投资是内容分发网络或 CDN。它将您网站的副本放置在不同的服务器上,这使得将其完全从网络中取出变得更加困难。它还可以使攻击远离您的主服务器。许多 CDN 都包含 DDoS 保护。
如果您在 WP Engine 上托管您的网站,您可以使用 Global Edge Security 同时利用这两种方法。它是一个企业级性能和安全附加组件,包括托管 Web 应用程序防火墙、高级 DDoS 保护和全球 CDN。简而言之,这是抵御外部安全威胁所需的一切。
另外,它非常不干涉。您只需将其添加到您的计划中,将您的 DNS 记录指向正确的服务器,剩下的就为您处理了。简单易行。最后,设置正常运行时间监控是个好主意,例如使用 UptimeRobot。这样,当您的网站无法再访问时,您会快速收到警报,以便您可以立即采取行动。
网站安全威胁 #3:暴力攻击和撞库
暴力攻击与 DDoS 攻击有些相似,因为它们会自动攻击您网站的一部分。但是,他们不会阻止流量,而是针对您的登录页面,并尝试通过猜测您的登录信息来访问该网站。此类程序每秒尝试许多不同的常用密码和用户名组合,直到它们进入。
一个稍微复杂的变体是所谓的撞库。在这里,攻击者不是随机登录信息,而是使用从其他数据泄露中已知的电子邮件/密码组合。这些攻击依赖于许多人重复使用他们的登录信息这一事实。
如果攻击者确实成功猜测了您的登录凭据,则结果与“网络钓鱼”部分中讨论的几乎相同。
阻止登录攻击
您可以通过多种方式保护自己免受登录页面上的攻击:
- 限制登录尝试次数并锁定经常失败的用户,例如通过限制重新加载的登录尝试次数
- 不要重复使用您的凭据,为您拥有的每个帐户设置单独的密码
- 限制 WordPress 网站上的用户数量,并仅为他们提供工作所需的功能
- 强制使用强密码,例如通过密码策略管理器
- 更好的是,使用多因素身份验证
- 关闭WordPress主题和插件编辑器,以便攻击者无法从 WordPress 仪表板内部作您的文件
网站安全威胁 #4:跨站脚本 (XSS)
在跨站点脚本中,黑客诱骗网站向受害者的浏览器发送恶意脚本。由于源,浏览器信任并执行脚本。这通常通过输入字段(例如在联系表单中)发生。但是,攻击也可能来自受感染网站的数据库。
可能的结果
成功后,攻击者可以使用跨站点脚本窃取登录数据、安装恶意软件、将用户重定向到另一个站点,甚至纵他们正在查看的页面。他们还可以以其他用户身份访问相关网站并读取他们的数据。另外,他们也许能够在受害者的计算机上安装软件。
总体而言,跨站点脚本对访问者的危险比网站本身更大。但是,如果它源自您的网络存在,自然不会给您带来好的影响。因此,您有责任确保您的网站安全。
如何防止 XSS 攻击
在技术层面上,防止跨站点脚本的最重要步骤是清理和验证您的数据输入。这意味着拒绝特殊字符和符号以避免代码注入,例如确保输入不能包含脚本、对象或链接等内容。PHP 和 JavaScript 等编程语言为此提供了标准功能,WordPress 也有自己的标记用于此目的。
如果您不是开发人员,您的角色是使用良好的判断力,以使不遵守这些规则的代码远离您的网站。这意味着,从信誉良好的来源获取主题和插件,并确保它们得到良好的支持和维护。另外,不要在您的网站上安装您不理解的代码片段。
网站安全威胁 #5:SQL 注入
SQL 注入类似于跨站点脚本。它们还通过使用输入字段在您的网站上运行恶意 SQL 代码并获取对数据库的访问权限来工作。
如果您的网站容易受到 SQL 注入的攻击,攻击者可以使用此技术通过多种方式对其进行破坏:
- 创建具有管理员权限的新身份并获取对站点的访问权限
- 直接访问服务器上的所有数据
- 销毁/修改数据库使其无法使用
当然,这些都不是好消息。
阻止 SQL 注入
这种网站安全威胁需要与跨站点脚本类似的警惕性。清理、过滤、转义和验证数据输入,并确保加密机密信息。许多 Web 框架会自动执行此作。
作为非开发人员,请保持 WordPress 及其组件更新并使用 WordPress 安全插件。其中许多都具有防止 SQL 注入的功能。您可以在专门的 WP Engine 文章中找到有关此主题的更多详细信息。
网站安全威胁 #6:勒索软件/污损
勒索软件是一种软件,它会阻止对您的网站或其他业务资产的访问,并且只有在您向攻击者付款时才会再次解锁它,有时甚至不会。
污损的类似之处在于它会弄乱您网站的设计或内容,或者在其上留下成功黑客攻击的消息。
在每种情况下,都有人以某种方式访问了您的网站,这可能会带来许多负面结果:
- 赎金的成本(如果您支付,这可能会很昂贵)
- 清理费用
- 销售损失和声誉损失
- 员工因无法执行工作而损失生产力
- 由于被列入黑名单而降低搜索引擎排名
如何保护自己
防止勒索软件和污损攻击的方法是遵循本指南中提到的其他最佳实践来锁定对您的网站和服务器的访问。确保您的登录信息安全,更新您的网站,并放置备份解决方案,以便您可以返回到网站的早期版本。
网站安全威胁 #7:恶意软件和间谍软件
这与其说是对网站本身的危险,不如说是您的网站可能发生的事情。当攻击者访问它时,他们可能会安装恶意软件和间谍软件来感染访问者的计算机。您被入侵的网站最终会成为推进黑客议程的工具。
会发生什么?
恶意软件对您的声誉构成巨大威胁。当浏览器或防病毒程序检测到它时,他们将阻止访问者访问您的网站。
更重要的是,搜索引擎可以将您列入黑名单并将您从他们的索引中删除,因为他们不想将用户发送到伤害他们的网站。
当然,两者都会导致大量流量损失,即使您已经解决了问题,有时也很难摆脱黑名单。没有流量,就没有收入,没有潜在客户,没有客户,就没有业务。
防止恶意软件感染
同样,请遵循本指南中提到的做法,以防止其他网站安全威胁进入您的网站。特别是,采用强大的凭据和多因素身份验证,使网站组件保持最新,并对您在网站上安装的内容保持警惕。
此外,使用防病毒软件保持您自己的计算机清洁,并定期扫描您的网站以查找恶意软件,例如通过 Sucuri Sitecheck。
网站安全威胁 #8:中间人攻击
此类攻击在不对流量使用加密的网站上很常见。在这里,攻击者拦截未受保护的数据,从而可以访问登录、付款或其他敏感信息。中间人攻击也发生在不安全的 wifi 网络中。
如何保护自己
在网站上,应对这种威胁的第一种方法是使用加密。在您的网站上安装 TLS/SSL 协议并将其切换到 HTTPS。这会自动加密您的网站和访问者浏览器之间发送的所有信息,防止中间人攻击得逞。
此外,使用强密码和更改默认凭据来保护您的工作和家庭 wifi。另外,使用公共 wifi 时要特别小心。使用 VPN 保护您的流量,并且仅在绝对必要时才从公共 wifi 登录您的网站。
网站安全威胁 #9:供应链攻击
供应链攻击是指攻击者通过第三方软件渗透到网站。例如,当有人侵入与许多网站集成的 SaaS 产品,然后在此过程中访问这些网站时。
近年来,我们在 WordPress 中看到了供应链攻击。在一个案例中,攻击者故意在插件中插入恶意代码。还有一次,他们闯入了 WordPress 扩展的分发服务器来做同样的事情。
在大多数情况下,这些攻击很快就被发现,并且有问题的插件已被禁止或修补。但这仍然是需要注意的事情。
如何预防
防止供应链攻击的最佳方法是遵循在网站上使用插件和第三方代码的最佳实践:
- 仅对插件和主题等扩展使用信誉良好的来源
- 将集成保持在最低限度,只安装您真正需要的内容
- 如果所有第三方内容仍然相关,请定期审核您的网站
- 使用活动日志发现您网站上发生的可疑行为
远离网站威胁
安全威胁是每个网站所有者都必须面对的事情。它们是在互联网上运营的一个不幸现实。值得庆幸的是,其中许多可以通过实施一些常识性最佳实践来预防:
- 对您收到的消息、您点击的链接和下载的附件保持警惕
- 投资防火墙、CDN 和正常运行时间监控
- 使用强密码,限制用户功能和登录尝试,并设置多重身份验证
- 尽量减少您网站上的插件和主题数量,并确保从合法来源获取它们
- 作为开发人员,清理和验证您的数据
- 使您的网站及其所有内容保持最新状态
- 使用 HTTPS 加密您网站的流量
- 准备备份解决方案,以防出现问题
- 不要在不安全的网络中输入敏感信息
遵循这些应该足以保护自己免受大多数常见网站安全威胁。保持警惕!
