網(wǎng)站保護(hù)是企業(yè)生存和發(fā)展的核心，全球數(shù)據(jù)充分強(qiáng)調(diào)了這一點(diǎn)。例如，43% 的數(shù)據(jù)泄露受害者是小型企業(yè)，其中 69% 的企業(yè)在遭受攻擊后的 6 個(gè)月內(nèi)被迫關(guān)閉。盡管越來(lái)越多的企業(yè)主對(duì)網(wǎng)站保護(hù)表示擔(dān)憂，但仍有許多人認(rèn)為他們的網(wǎng)站在某種程度上可以抵御這些惡意攻擊，或者簡(jiǎn)單的漏洞掃描器就足夠安全了。這種缺乏理性的 Web 應(yīng)用程序安全方法與攻擊的殺傷力和復(fù)雜性的增加相結(jié)合，導(dǎo)致攻擊的數(shù)量不斷增加。

網(wǎng)絡(luò)攻擊造成的損失巨大——平均 392 萬(wàn)美元。網(wǎng)站保護(hù)的簡(jiǎn)單而有效的步驟（將在本文中討論）可以極大地加強(qiáng)Web 應(yīng)用程序的安全性，并使企業(yè)免于這些巨額成本。

保護(hù)您的網(wǎng)站免受攻擊者攻擊的9種方法

1. 穩(wěn)健且不斷發(fā)展的安全策略

全面、主動(dòng)、周密的網(wǎng)絡(luò)安全戰(zhàn)略是加強(qiáng)網(wǎng)絡(luò)安全的重要抓手。鑒于威脅形勢(shì)正在快速發(fā)展，新漏洞經(jīng)常被發(fā)現(xiàn)，網(wǎng)站面臨的風(fēng)險(xiǎn)也在迅速變化，因此沒(méi)有最好的安全解決方案或策略。因此，了解最新的安全信息并不斷調(diào)整策略至關(guān)重要。

2. Web開發(fā)階段的安全

由于不安全的編碼實(shí)踐、選擇具有已知漏洞和安全配置錯(cuò)誤的框架以及使用不安全的主題、插件等，網(wǎng)站中經(jīng)常會(huì)出現(xiàn)漏洞。因此，必須在 Web 開發(fā)階段通過(guò)選擇安全框架、編碼實(shí)踐和組件、始終進(jìn)行以安全為中心的測(cè)試以及采用以安全為中心的思維方式來(lái)建立 Web 安全。

3. 更新一切

網(wǎng)站上的所有內(nèi)容，從使用的軟件和第三方組件到插件、庫(kù)等，都必須更新，因?yàn)楦轮邪P(guān)鍵補(bǔ)丁。漏洞已由這些關(guān)鍵補(bǔ)丁修復(fù)，因此不容忽視。必須從網(wǎng)站上清除過(guò)時(shí)或未收到更新的組件，因?yàn)樗鼈優(yōu)楣籼峁┝酥匾娜肟凇?/p>

4. 強(qiáng)大的訪問(wèn)控制

可以通過(guò)加強(qiáng)訪問(wèn)控制來(lái)防止各種攻擊，例如暴力攻擊。

• 多重身份驗(yàn)證和強(qiáng)密碼策略是必須的。
• 必須將用戶分類為特定角色（所有者、管理員、公眾、組等），并根據(jù)信任給予訪問(wèn)規(guī)則。必須遵循最小特權(quán)原則。
• 并非每個(gè)用戶都可以訪問(wèn)管理目錄。
• 必須盡量減少登錄嘗試。
• 必須強(qiáng)制執(zhí)行自動(dòng)注銷/會(huì)話到期。
• 文件上傳必須非常嚴(yán)格，因此上傳的文件不得直接訪問(wèn)網(wǎng)站。它們必須存儲(chǔ)在外部位置、解析并安全地傳送到瀏覽器。

5. 安裝SSL

SSL 用于確保在主機(jī)（服務(wù)器/防火墻）和客戶端（瀏覽器）之間傳輸?shù)臄?shù)據(jù)，尤其是敏感和機(jī)密數(shù)據(jù)被加密。當(dāng)網(wǎng)站受SSL 證書保護(hù)時(shí)，HTTPS 會(huì)自動(dòng)出現(xiàn)在 URL 中，以喚起用戶的信任。

6. 輸入消毒/驗(yàn)證

通過(guò)確保用戶在評(píng)論、反饋和其他用戶輸入表單中的輸入得到驗(yàn)證，可以防止一系列社會(huì)工程攻擊、XSS 攻擊、XXE 攻擊等。特殊字符必須列入白名單。不允許在這些用戶輸入字段中輸入代碼。

7. 使用智能漏洞掃描器持續(xù)掃描網(wǎng)站

確保網(wǎng)站受到保護(hù)的一種有效方法是使用智能、自動(dòng)化的網(wǎng)站漏洞掃描程序進(jìn)行連續(xù)掃描（每天和按需）。通過(guò)這樣的掃描工具可以有效地識(shí)別已知的漏洞。當(dāng)掃描器是更大的安全解決方案的一部分時(shí)，可以保護(hù)已識(shí)別的漏洞。

8. 部署 Web 應(yīng)用程序防火墻以保護(hù)您的應(yīng)用程序

Web應(yīng)用程序防火墻可以制定策略來(lái)阻止用戶，或者針對(duì)特定模塊只允許特定類型的請(qǐng)求/用戶。它可以是根據(jù)不斷變化的威脅形勢(shì)和應(yīng)用程序的動(dòng)態(tài)特性快速部署風(fēng)險(xiǎn)緩解步驟的有效場(chǎng)所。

Web 應(yīng)用程序防火墻必須具有以下功能：

• 能夠根據(jù)應(yīng)用程序安全評(píng)估確定的應(yīng)用程序當(dāng)前風(fēng)險(xiǎn)更新和部署規(guī)則
• 擁有 24×7 安全專家，專門從事 WAF 簽名并提供管理功能，以根據(jù)應(yīng)用程序上下文更新 WAF 規(guī)則和配置
• 通用簽名可以阻止常見攻擊，例如 DDoS 和 Bot 攻擊，不受安全評(píng)估識(shí)別的應(yīng)用程序風(fēng)險(xiǎn)的影響
• 確保解決方案提供支持，并保證不會(huì)出現(xiàn) SLA 和懲罰條款支持的誤報(bào)
• 集成或同時(shí)提供網(wǎng)站加速模塊，以確保在安全性和性能之間不存在折衷

9. 引入全面而強(qiáng)大的安全解決方案

以下功能是安全解決方案中必不可少的：

• 智能、自動(dòng)化的網(wǎng)站漏洞掃描器。
• 有效的誤報(bào)管理
• 穩(wěn)健、全面和托管的 WAF，可監(jiān)控流量，立即阻止不良流量，并以虛擬方式修補(bǔ)漏洞直至修復(fù)。
• 定期進(jìn)行安全審計(jì)和滲透測(cè)試，以識(shí)別業(yè)務(wù)邏輯缺陷并加強(qiáng)安全性。
• 經(jīng)過(guò)認(rèn)證的安全專家的專業(yè)知識(shí)可根據(jù)業(yè)務(wù)需求和環(huán)境定制安全性。
• 安全分析

結(jié)論

為了有效保護(hù)網(wǎng)站，企業(yè)必須始終比攻擊者領(lǐng)先一步。提高安全性的簡(jiǎn)單有效措施以及對(duì)強(qiáng)大、智能和托管的 Web 應(yīng)用程序安全解決方案的戰(zhàn)略投資，可以節(jié)省數(shù)百萬(wàn)美元的罰款、恢復(fù)成本和聲譽(yù)損失。