繁体

如何保护您的网站免受网络攻击、恶意代码感染

0oD三一o0

温馨提示:这篇文章已超过740天没有更新,请注意相关的内容是否还可用!

该文章包含许多预防性建议,有助于保护您的网站免受感染。

如何阻止攻击者在您的网站上放置恶意代码

  1. 使用可靠的软件。
    • 从受信任的来源下载 Web 应用程序分发和 CMS 扩展/插件。
    • 定期更新 CMS 和服务器软件,敬请关注有关 CMS 漏洞的新闻。
    • 定期审核您的服务器的安全性。
    • 安装 CMS 后,删除安装和调试脚本。
  2. 对 Web 服务器软件(FTP、SSH、主机控制面板和 CMS)使用强密码。
    • 复杂密码至少包含 11 个字符,包括大小写混合的字母、数字和特殊字符。
    • 不要使用相同的密码访问不同的服务。
    • 即使是最强的密码也建议每三个月更改一次,以防止意外泄漏。
    • 不要将重要的密码保存在 Web 浏览器、文件管理器、FTP、SSH 和其他客户端中。
  3. 确保您的工作计算机安全。

    用于与服务器一起工作的所有计算机(网站管理员、管理员、内容管理员、销售经理等的计算机)都必须安装防病毒软件,并支持定期更新。还需要及时更新操作系统和应用程序。

  4. 控制用户输入的数据。
    • 在用户提供的数据中过滤 HTML 标记,这些数据可以嵌入到网站页面的代码中。
    • 当从用户接收数据时,在服务器上检查它们的大小是否可以接受,传输的值是否包含在允许的列表和间隔中。
    • 切勿将用户生成的数据直接插入到调用eval()、SQL 查询或类型转换中。始终检查并清除接收到的信息中的潜在危险元素。
    • 不要留下为调试而引入的参数,在代码的工作版本中试验新的或禁用的功能。
    • 使用 WAF(Web 应用程序防火墙)。
  5. 控制用户访问权限,特别是提供针对跨站点请求伪造 (CSRF) 的保护。

    限制对 CMS 和数据库管理面板(例如 phpMyAdmin)的访问,以及:

    • 编码备份;
    • 到配置文件;
    • 到版本控制系统的元数据(例如,到目录.svn或.git)。
  6. 如果可能,隐藏服务器软件版本(CMS、Web 服务器、脚本解释器、DBMS)。
  7. 设置防火墙和网络基础设施,只允许工作所需的连接。
  8. 尽量避免点击劫持。最简单的检查是:
    • HTTP 标头输出X-FRAME-OPTIONS SAMEORIGIN或X-FRAME-OPTIONS DENY.
    • Javascript 视图结构
      if (top.location != window.location) top.location = window.location
      或者
      top.location = 'http://example.com'

如何防止网站用户发布恶意代码

如果您网站的访问者可以将文件或文本上传到您的网站,则下载的内容中可能包含恶意代码(有意或无意)。

  1. 保护自己免受机器人攻击。

    为了防止黑客机器人,您可以使用特殊的 CMS 插件或在黑名单中查找用户 IP 地址。

  2. 检查用户可以输入的数据。
    • 不允许在脚本、标签或链接中插入 JavaScript 代码。
    • 不要在iframe、object中直接插入代码,在网站页面中嵌入标签,也不要上传.jar、.swf和.pdf文件(使用它们,网站会自动生成此类标签)。
    • 维护允许的 HTML 标签的白名单,以丢弃所有其他标签,无需进一步处理。
    • 检查用户插入的链接,例如通过Yandex 安全浏览 API

如何不意外发布恶意代码

  1. 检查您正在使用的软件。
    • 仅从官方网站或可信来源下载 CMS 发行版、小部件、库。
    • 如果您必须从可疑站点下载分发工具包,请务必检查其中是否存在恶意代码。
    • 仔细研究要添加到 CMS 的任何其他组件的代码。
  2. 小心使用广告单元和代码。
    • 仅在您的网站页面上嵌入由受信任的广告系统提供的广告单元。
    • 在将站点连接到新的合作伙伴系统之前,请查看有关它的评论和分发内容的示例。
    • 避免“独特的报价”(柜台和块的可疑高额费用,移动流量的货币化)。
    • 如果可能,在您的页面上嵌入静态内容(链接和图片)。避免加载脚本和iframe元素。请仅接受您可以自行检查和编译的源代码形式的 Flash、Java 和 ActiveX 组件。
    • 不要使用带有隐藏块的附属程序。
  3. 小心控制对服务接口的访问。该网站的访问权应该只提供给需要访问权的人,并且只要需要。
    • 撤销对执行一次性工作的专家、以前的所有者、不负责网站运营的人员(例如,营销专家或经理)的访问权限。
    • 在邀请外部人员在网站上工作时,请尝试获得一些建议。完成工作后,禁用他们的帐户或更改密码。
    • 如果您的站点是静态的,则某些合作伙伴系统可能会请求 FTP 访问以自行更改横幅。提供这种访问是危险的:如果合作伙伴系统的数据库被黑客入侵,攻击者将可以直接访问您网站上的文件。
  4. 寻找可靠和高质量的主机。并非所有托管服务商都能以高质量确保其服务器的安全性,有些托管服务商可能会故意感染客户端站点。


免责声明:本文来自Yandex站长平台,不代表0oD三一o0的观点和立场,如有侵权请联系本平台处理。

相关阅读

  • Yandex检测网站出现缺乏原创内容、垃圾广告、过度优化以及侵权等违规行为如何解决?
  • Yandex搜索引擎检测到劫持或欺骗行为时如何解决?
  • Yandex判定无关SEO文本为违规行为,如何解决网站过度优化问题?
  • 互联网信息服务(IIS)部署时需要注意的2项操作
  • Yandex搜索网站安全基础知识
  • 网站安全的重要性,Web服务器易受攻击现状应及时保护
  • 如何将恶意代码发送给 Yandex 专家进行分析
  • 如何使用Yandex Anti-Virus检测虚拟机恶意代码?

    • 发表评论

    快捷回复: 表情:
    AddoilApplauseBadlaughBombCoffeeFabulousFacepalmFecesFrownHeyhaInsidiousKeepFightingNoProbPigHeadShockedSinistersmileSlapSocialSweatTolaughWatermelonWittyWowYeahYellowdog
    评论列表 (暂无评论,755人围观)

    还没有评论,来说两句吧...

    取消
    微信二维码
    微信二维码
    支付宝二维码