建立起一个网站是非常困难的,对个人站长来说要比常人努力数倍,然而为了仅此的一点流量需要长期不断的付出。
如果说起网站安全除了防止网站源码被促改或者脚本促改的恶意行为,网站最怕的是被劫持,这种劫持用户输入站点地址会被直接跳转到另一个网站,可以理解为被301重定向了一般。
如果不去观察URL地址发生的变化,可以做到浑然不知。网站无论是做的推广还是SEO正常流量进入,还是手动输入进入网站都会被这种恶意行为造成影响。
网站被绑架的损害
1、跳转到其它地址,用户无法正常拜访,网站流量受损
2、经过泛解析生成大量子域名,一起指向其它地址。跳转到不合法网站会形成网站被百度“降权”
3、域名被解析到歹意垂钓网站,导致用户财产损失,形成客户投诉。
4、常常弹出一些广告,使客户不喜欢检查网站,形成信誉度下降。
如何防止网站劫持?
我们仔细观察发现,这些网站地址有一个相同点,采用了HTTP明文传输协议,部分人的站点采用了虚拟主机,并同一台服务器同站站点存在一些违规网站。回头看看一些大站有什么区别,比如百度、新浪、搜狐等,是的,我们可以看到采用了HTTPS协议,这种协议地址除了可以给网站加密传输以外,还可以很好的保护网站。
HTTPS相比HTTP,在请求开始之前增加了握手的环节,在进行SSL握手时,客户端浏览器会对服务器的身份进行验证,这是通过SSL证书来实现的,SSL证书是由第三方权威机构CA颁发,通俗一点来说就是网站的“身份证”,浏览器需要对“身份证”进行验证来确认服务器的身份,确认证书是否属于目标网站、确认证书是否有受信任机构所颁发等。在握手环节的最后,客户端和服务器还会协商出一个用于加密和解密的通讯密钥。
而在接下来服务器与客户端进行的会话中,都会使用协商好的密钥对交互的数据进行加密/解密,简单来说,就是在HTTP协议的基础上,将HTTP的明文加密成密文再进行传输,在数据送达服务器后再由服务器进行解密,这就避免数据内容被人窃取。
综上所述,在部署了SSL证书之后,因为会对服务器的真实身份进行验证,所以在发生DNS劫持导致连接到其它非目标服务器的情况时,该次访问将会被浏览器发现并阻止,让不法分子的DNS劫持无法顺利实施。此外使用SSL协议还能对数据进行加密和效验完整性,这就避免了传输的数据信息被窃取或篡改的情况发生。
