1.确保密码安全(并定期更新)
行动项目:使用密码生成器,如LastPass,为您的网站创建超安全密码。更好的是,使用 LastPass 安全地保存和存储这些密码。还可以设置日历提醒,以定期更新您的密码,例如每个月或每个季度。
大约 80% 的与黑客相关的违规行为是由密码造成的。您的公司可以通过创建更强大且唯一的登录凭据以及更频繁地更新这些凭据来快速提高其网站安全性。
虽然您当然可以自己创建密码,但密码生成器可以简化该过程。
例如,LastPass提供了一个密码生成器,允许您指定密码的长度以及大小写字母的使用。您还可以决定密码是否应包含数字和符号。
使用这样的密码生成器来保护您的网站。为获得最佳效果,请确保定期更改这些密码。例如,每个月或每个季度,您都可以更新这些凭据以确保您的站点安全。
如果您想让您的生活更轻松,您可以使用 LastPass安全地存储您的所有密码。
2. 安装 SSL 证书
行动项目:购买安全套接字层 (SSL) 证书并在您的网站上使用它来发送敏感数据,例如信用卡信息, 安全的。安装 SSL 证书后,您可以使用HTTPS使您的网站更加安全。
每个站点安全清单都包括获取SSL 证书。
SSL 证书通过确保数据传输安全来帮助保护您的网站。例如,如果有人在您的网站上在线下订单,您希望保护他们的个人信息,无论是他们的信用卡号、地址还是电话号码。
对于许多在线购物者以及商业买家而言,SSL 证书也可以作为信任信号。
这是因为安装 SSL 证书会升级您在 Web 浏览器中的外观。通常,Web 浏览器(如 Google Chrome)会在带有 SSL 证书的网站 URL 旁边显示一个挂锁。
从您的网站安全清单中检查此项目并不难,只需按照以下步骤操作:
从信誉良好的供应商处购买 SSL 证书,例如GoDaddy、阿里云或Symantec
按照 SSL 证书提供商的步骤安装 SSL 证书
为您的页面实施正确的重定向,从HTTP 到 HTTPS
在Google Search Console中验证 SSL 证书和重定向
根据您在 Web 开发以及搜索引擎优化 (SEO)方面的经验,您可以自行完成此清单项,而无需公司开发人员的帮助。
3.自动化网站备份
行动项目:制定创建网站备份的时间表,或通过您的网站托管服务器提供商(如阿里云 )自动执行该过程。在网站安全方面,备份是您最好的朋友。
通过备份您的网站,您可以快速解决一系列问题,无论是页面损坏还是网站被黑。然而,问题是许多企业未能定期备份他们的网站。不过,解决这个问题很容易。例如在阿里云账号下可以操作
4.限制用户权限
行动项目:限制可以访问和修改具有用户权限的网站的人数。利用WordPress 等内容管理系统 (CMS)中的用户权限设置来提供对您网站的按需访问,例如发布内容与修改导航菜单。
让每个人都能够访问和更新您的网站会产生安全漏洞,特别是如果他们未能遵循此网站安全检查表中的其他项目,例如定期更新密码。这就是为什么为了获得最佳站点安全性,您应该限制用户权限。
例如,如果您使用 WordPress 等 CMS,您的企业应使用不同的可用用户权限级别,如管理员、编辑和作者。这些角色允许您立即设置用户权限,例如安装插件、发布帖子等的能力。
5.安全的在线结账
行动项目:通过地址验证系统 (AVS) 以及用于所有信用卡结帐的信用卡验证值 (CVV) 表单字段升级在线结帐安全性。值得信赖的 AVS 提供商包括Melissa和Loqate。使用Shopify 之类的平台还可以帮助您自动实施 CVV 字段。
您的企业是否接受在线支付?然后你需要一个 AVS。
借助 AVS,您的公司可以为您的在线结账流程提供更高级别的安全性。这些系统的工作原理是防止欺诈性付款,这不仅会给您的企业带来麻烦,还会造成收入损失。
除了使用 AVS,您的公司还应该在结帐流程中添加 CVV 表单字段。
使用 CVV 表单字段,您需要购物者输入他们信用卡的安全代码,该代码通常出现在信用卡的背面。拥有 CVV 表单字段可提供另一层防止信用卡欺诈的保护。
根据您的企业在线销售方式,您的网站可能已经使用 CVV 表单字段。Shopify是一个允许公司建立自定义在线商店的电子商务平台,它包含 CVV 表单字段,可以轻松提高网站的安全性。
6.投资反恶意软件
行动项目:获取反恶意软件或恶意软件检测软件,以保护您的网站免受恶意软件感染,这可能导致客户数据被盗、资金损失等。一些值得信赖的恶意软件提供商(免费和付费)包括Quttera、SUCURI和Astra Security。
恶意软件是一个严重的网站安全问题。每天有超过 350,000 个恶意程序被发现,这就是为什么反恶意软件对于在线运营的企业至关重要,即使他们不接受在线支付。
虽然您会找到一些免费的反恶意软件,但您可能需要付费程序才能全面覆盖您的网站。将此成本视为一项投资,因为它将保护您的业务、品牌和客户。
7.获得DDoS 缓解服务
行动项目:投资于分布式拒绝服务 (DDoS) 缓解服务,以及具有针对 DDoS 攻击的内置保护的 Web 主机。DDoS 缓解服务提供商包括Akamai、Cloudflare和Nexusguard。
根据您的网络托管服务提供商,您可能已经拥有 DDoS 保护。
借助 DDoS 保护,您的企业可以防御 DDoS 攻击,这些攻击涉及黑客超载您网站的带宽以使您的网站无法访问。这类攻击已经发生在小型和知名品牌中,因此不要低估对 DDoS 保护的需求。
8. 最小化 XSS 漏洞
行动项目:通过使用HTML 净化器之类的工具“清理”您的 HTML 代码,降低您网站代码中的安全漏洞,也称为跨站点脚本 (XXS) 漏洞。如果您的网站不使用 HTML,您的网站开发人员可以添加一串代码来减少漏洞。
每个网站安全清单都应该包含一个关于减少 XSS 漏洞的项目。
此任务可能需要开发人员的帮助,有助于防止黑客将恶意代码直接插入您网站的代码中。如果黑客确实向您的网站添加了恶意代码,它不仅会伤害网站访问者,而且很难删除。
幸运的是,开发人员可以使用HTML 净化器之类的工具来“清理”和“清理”您网站的 HTML 代码,从而删除任何恶意代码。对于非 HTML 网站,开发人员还可以在您网站的每个页面上添加一段代码,以减少 XSS 漏洞。
9、防御SQL注入攻击
行动项目:通过采取一些主动措施,包括限制用户权限、实施数据存储过程、使用白名单输入验证等,防止允许黑客窃取用户数据的 SQL 注入攻击。这些步骤可能需要开发人员的帮助。
虽然不像其他安全漏洞那么常见,但 SQL 注入攻击可以通过接管数据库服务器和窃取敏感的客户数据(从地址到信用卡号码)造成同样大的损害。
这就是为什么值得实施一些针对 SQL 注入攻击的保护措施,包括:
使用白名单输入验证,以便您的数据库可以检测到未经授权的输入
限制用户对服务器数据库的权限
创建存储过程供用户参考
建立参数化查询,以便您的数据库可以区分代码和数据
您的开发人员可以帮助您查看这些选项并为您的网站选择最佳选项。
