系统以及网站密码
简单密码。简单密码扫描无处不在,您现在访问的这个博客,几乎每隔几分钟就被扫一次,任何时候,任何场景,不要使用 123456/abcdef 这样的简单密码,哪怕就是改个简单密码给某人登陆下后台,几分钟后就改回来也会有极高的被扫风险;
陈年密码。您的扣扣密码、邮箱密码、主机密码、微博密码、微信密码等等,设置成都是一样的,或者都是从接触互联网就在用的密码,这很恐怖,在漫长的互联网使用过程中,可能注册了很多站点的会员,在长期使用过程中,您的密码可能早已泄露,说不定您到某工库一查,发现您所有在用的密码都在上面;
拼接密码。您的银行卡密码是您或您家人的生日,您的微信密码是您的姓名拼音加生日或电话或身份证的号码,也可能是其它个人信息拼接,这样的密码极容易被有心人暴力破解,只要掌握一定量的私人信息就很容易猜出您当前可能在用的密码;
特殊含义。如 P@ssw0rd12#$,这种密码看似特别复杂,包含大小写的字母,还有数字以及特殊符号,但这类的密码同样容易破解。
系统以及网络安全
定期检查并修复系统的漏洞;
开启系统的防火墙,只放行要用的端口;
修改 SSH 端口号;
禁 Ping;
限制 root 等用户权限;
安装悬镜、云锁、安全狗等安全软件「装一个就够了」
网站安全相关设置
隐藏后台管理入口;
除了 update/cache 等少数目录,其它所有目录都给只读权限;
在 Nginx/Apache 配置中限制除了入口目录及资源目录以外的所有目录的访问权限;
如若网站程序支持,尽量使用 PHP5.4 以上的版本;
如非必要,不要给站点创建 FTP,或者使用完就删除站点的 FTP 帐户;
如非必要,不要对外开放 3306 数据库端口,并且隐藏好 phpMyAdmin 位置,最好设个访问密码;
如果允许尽可能开启 SSL;
若使用 Nginx,尽量使用 WAF 防火墙,可有效防止绝大多数 Web 攻击。
其它辅助安全操作
保护好网站的源码及数据库备份,请不要将数据库备份及网站源码包放在站点根目录;
各大云服务的厂商都有安全检测服务,定期查看检测结果并处理警报项;
可添加 CDN 服务,避免暴露云主机真实 IP;
不要使用破解版的网站程序。
本文链接:https://my.lmcjl.com/post/18818.html
4 评论