安全性

小型企业网站安全基础知识

阅读时长9分钟
Web Workmen
小型企业网站安全基础知识

您晚上锁卡车。您锁店铺。您锁工地拖车。但您的网站呢?大多数行业人士直到出问题才考虑网站安全——而到那时,修复起来既昂贵又尴尬,还耗时。

网站安全无需复杂。以下是每个小型企业网站所需的基本要素,用通俗易懂的语言解释。

为什么黑客瞄准小型企业网站

您可能会想,“谁会入侵我的水管工网站?我又不是银行。”问得好。但黑客攻击您的网站不是因为您拥有什么——他们攻击它是因为它能为他们做什么。

根据 Verizon 2023 年数据泄露调查报告,43% 的网络攻击针对小型企业。被入侵的网站被用于:

  • 分发恶意软件 给您的访客(您的客户会被感染)
  • 发送垃圾邮件 从您的域名发送(您的电子邮件信誉将毁于一旦)
  • 重定向访客 到诈骗网站、赌博页面,甚至更糟
  • 托管钓鱼页面 窃取信用卡号
  • 挖掘加密货币 利用您的服务器资源(以及您访客的浏览器)

小型企业网站很容易成为目标,因为它们通常使用过时的软件、弱密码,并且无人监控。黑客可以使用自动化工具每小时扫描数千个网站,寻找已知的漏洞。

必备项:安全要点

1. SSL证书 (HTTPS)

如果您的网站 URL 以“http://”而不是“https://”开头,那您就有问题了。“S”代表“安全”,意味着您的访客浏览器与您的网站之间的连接是加密的。

重要性:

  • Google Chrome(65%的网络用户使用)会将 HTTP 网站标记为“不安全”,并显示醒目的警告。仅此警告就会吓跑客户。
  • Google 已确认 HTTPS 是一个排名因素。HTTP 网站在搜索结果中会受到惩罚。
  • 如果您的 HTTP 网站上有联系表单,客户信息(姓名、电话、电子邮件)将以纯文本形式传输,同一网络上的任何人都可以读取。

解决方案: SSL 证书可以通过 Let's Encrypt 等服务免费获取,大多数现代主机提供商都会自动包含它们。如果您的主机对 SSL 额外收费,那说明您的主机有问题。请您的网站开发人员设置它——大约需要15分钟。

2. 保持软件更新

如果您的网站运行在 WordPress 上(根据 W3Techs 的数据,约43%的网站都是如此),保持更新至关重要。WordPress 核心、主题和插件都会定期接收安全补丁。运行过时的版本就像把前门敞开一样。

Sucuri 的研究发现,39% 被黑客攻击的 WordPress 网站在入侵时运行的是过时软件。更新之所以存在,正是因为发现了安全漏洞——不更新意味着您明知故犯地运行带有已知漏洞的软件。

解决方案: 至少每月登录您的 WordPress 后台,安装所有可用的更新。或者更好的是,为安全补丁启用自动更新。如果您不习惯自己操作,请确保管理您网站的人员定期执行此操作。

3. 强密码

这听起来很基本,因为它确实很基本,但“password123”和“admin”仍然是被黑客攻击的网站上最常见的密码。如果您的 WordPress 登录密码是您的公司名称、您狗的名字,或者任何人类在五次尝试内就能猜到的东西,请今天就更改它。

解决方案: 使用至少12个字符长,包含字母、数字和符号混合的密码。更好的是,使用像 Bitwarden(免费)或 1Password 这样的密码管理器来生成和存储复杂密码。并且绝不要将您用于网站的密码与用于电子邮件或银行的密码相同。

4. 定期备份

如果您的网站被黑客攻击或损坏,一份最新的备份是30分钟修复与从头重建一切之间的区别。

解决方案: 确保您的网站至少每周备份一次。许多主机提供商都包含自动备份。如果您的主机没有,像 UpdraftPlus(免费)这样的 WordPress 插件可以自动将您的网站备份到 Google Drive 或 Dropbox。每年至少一次将备份恢复到测试环境,以验证您的备份是否确实有效。

5. 删除未使用的插件和主题

您网站上安装的每一个 WordPress 插件和主题——即使它不活跃——都是黑客潜在的入口点。一年多未被开发者更新的插件尤其危险。

解决方案: 进入您的 WordPress 后台,查看您已安装的插件和主题。删除任何您不活跃使用的东西。如果您有20个插件但只使用8个,那么另外12个只是在增加风险而没有任何好处。

您的网站被黑客攻击的警告信号

有时黑客攻击很明显——您的主页被替换成您看不懂的语言信息。但通常,黑客攻击是隐蔽的,您可能数周都不会注意到。请留意:

  • Google 搜索警告: 您的列表显示“此网站可能已被黑客攻击”或“此网站可能损害您的计算机”
  • 奇怪的重定向: 访问者点击您的链接后跳转到不同的网站
  • 新的管理员用户: 您在 WordPress 后台看到您未创建的用户账户
  • 性能缓慢: 突然、无法解释的网站速度变慢可能表明您的服务器正在被用于加密货币挖矿或发送垃圾邮件
  • 客户投诉: 人们告诉您您的网站“看起来很奇怪”或他们的杀毒软件将其标记为危险
  • 来自您域名的垃圾邮件: 您开始收到您未发送的电子邮件的退信通知

如果您怀疑您的网站已被黑客攻击,请立即采取行动。将网站下线,联系您的托管服务提供商,并请安全专业人士介入。被黑客攻击的网站在线时间越长,对您的声誉和 Google 排名造成的损害就越大。

静态网站的优势

这是大多数人不知道的一点:最安全的网站是根本没有服务器端代码的网站。静态网站——使用现代工具生成纯 HTML 文件的网站——几乎没有攻击面。没有数据库可供攻击,没有登录页面可供暴力破解,没有插件可供利用。

从 Cloudflare 等 CDN 提供的静态网站,通过传统方法几乎无法被黑客攻击。这与大公司用于其营销网站的方法相同,并且非常适用于服务型企业网站。无需担心 WordPress 漏洞、插件更新或安全补丁。

这是我们为客户构建静态网站的原因之一——它们不仅速度更快,而且比 WordPress 安全得多。 了解更多关于我们如何构建网站的信息 它们在设计上就快速且安全。

您的安全检查清单

以下是每个小型企业网站应具备的最低要求:

  1. SSL 证书 (HTTPS) — 免费且不可协商
  2. 所有软件更新到最新版本
  3. 每个账户都使用强大、独特的密码
  4. 定期进行异地备份
  5. 移除未使用的插件和主题
  6. 管理员登录启用双重身份验证
  7. 提醒您停机或变更的监控服务

这不贵。这不复杂。但跳过它就像一场赌博,每年风险都在增加。像保护您的工具和卡车一样保护您的网站。 联系我们 如果您想要一个以安全为基础,而非事后才考虑的网站。

需要一个真正为您的行业服务的网站吗?

别再因为糟糕的网站而流失客户了。获取免费、无义务的报价,看看一个现代网站能为您的业务带来什么。

获取您的免费报价