网站安全的一些实践
昨天在闲逛博客圈的时候,看到一位博友发博客说到自己的博客站被 DDos 攻击几个小时的时间里,就被打 15TB 的流量,他的博客用的是阿里云的 CDN,账单最终锁定在 8000 多块,看到这真的挺让人心痛的。
网站安全覆盖面其实挺大的,涉及硬件、软件、通讯、信息保护等等方面。因为我只是前端开发出身,并非安全工程师,所以对于一些特别专业的知识其实并不了解。所以今天就写一些跟我们普通站长息息相关的内容,好在脑子里有个对于安全的基本概念。
经常在群里有朋友分享了网站被黑的经历,可能的原因就是安装了一些盗版的主题与插件,然后黑客顺着这些漏洞就进来了,并做了一些破坏。好在损失并不大,且网站也能恢复,算是一次不大不小的教训吧。
使用盗版的插件、主题,这种事情其实在站长圈子里蛮普遍的。毕竟相较于几块钱人民币的盗版软件,正版软件动辄大几百的价格确实会让人肉疼。尤其是一个新手站长刚起步进行网站建设阶段,还没有通过网站获得收入,就更不会花大价钱去买正版了。
但是你要知道,绝大多数的网站漏洞可能正是由这些盗版插件、主题所故意留下的,其目的就是养“肉鸡”。之前看过一篇安全报告,就专门有黑客团队会去做那些高安装量主题、插件的破解,然后通过互联网免费分发出去。通过这种主动制造漏洞的方式,来培养自己的“客源”。
可能你会问,那我安装了破解版的插件程序,有没有什么办法知道这些插件程序是否存在后门?
办法确实有,比如比较常见的通过监控网站通讯数据包来分析流量去向。但是如果你没有技术背景的话,实操起来还挺麻烦的。虽然现在有一些第三方程序能够傻瓜版检测网站安全漏洞,但是架不住漏洞是在不断更新的,可能按下葫芦又起了瓢。
所以从这个角度出发,对于插件程序安全这块,最好的做法便是使用正版软件与授权,且保持程序的实时更新。但是我也能明白,大多数人的心里还是想花最少的钱,去办最大的事。
那这里推荐两种方式,你可以对号入座。
对于动手能力强的朋友,完全可以使用免费版本的主题或者插件,然后配合自己动手能力,来写一些自定义功能。其实这么做是完全可行的,尤其是当你需求并不是很多时,这块内容真的很好实现,且相对来说也很安全。
但是架不住你可能喜欢那些付费主题的好看模板,或者付费插件的强大功能。那这就得想办法去弄到正版授权了,其实具体的做法也很简单,直接去电商平台上找那些卖正版授权的卖家,帮你处理一下即可。至于怎么找,怎么甄别是不是正版,就得靠你自己的判断了。
归根到底,尽可能不要去安装什么破解版、绿色版的插件程序或者主题程序。能做到这点,90% 的安全目标基本便能实现了。剩下的 10% 可能就是写安全设置与安全习惯了。