初学者的网站安全检查表:如何保护你的网站

你的网站安全吗？此初学者网站安全检查表将帮助您找到答案。

在这个方便的清单中，您不仅可以了解中型企业面临的最大安全威胁，还可以了解如何防范这些威胁。最好的部分是什么？本网站安全检查表中的大多数项目不需要开发人员！

继续阅读，开始提高你的网站的安全性!

附笔。不确定你的网站是否安全？使用我们的免费安全检查器立即发现。

1.确保密码安全(并定期更新)

行动项目：使用密码生成器，如最后关卡，为您的网站创建超级安全的密码。更好的是，使用LastPass安全地保存和存储这些密码。设置一个日历提醒，定期更新密码，比如每个月或每个季度。

大约80%的黑客相关违规行为由于密码。你的公司可以通过创建更强大、更独特的登录凭证以及更频繁地更新这些凭证来快速提高网站的安全性。

虽然您当然可以自己创建密码，但是密码生成器可以简化这个过程。

比如说LastPass，提供密码生成器它允许您指定密码的长度以及大写字母和小写字母的使用。您还可以决定密码是否应该包含数字和符号。

使用这样的密码生成器来保护您的网站。

为了达到最好的效果，请确保定期更改这些密码。例如，每个月或每个季度，您都可以更新这些凭证以保证站点的安全。如果你想让你的生活更简单，你可以使用LastPass将你所有的密码保存在安全的地方．

2.安装SSL证书

行动项目：购买一个SSL (Secure Sockets Layer)证书（你可以免费买一个或者去任何地方每月从0.80美元到125美元，根据您的需要)，并在您的网站上使用它来确保发送敏感数据(如信用卡信息)的安全。一旦你安装了SSL证书，你可以让你的网站更加安全HTTPS．

每个站点安全检查表都包括SSL证书．

SSL证书通过确保数据传输的安全性，帮助保护您的网站。例如，如果有人在您的网站上下在线订单，您希望保护他们的个人信息，无论是他们的信用卡号码、地址还是电话号码。

对于许多在线购物者和商业买家来说，SSL证书也可以作为信任信号。

这是因为安装SSL证书会提升您在web浏览器中的外观。

通常，像谷歌Chrome这样的浏览器会在网站的URL旁边显示一个带有SSL证书的挂锁。但是，如果一个网站没有SSL证书，这个挂锁就会被替换为以下文字:不安全。

把这个项目从你的网站安全检查表中去掉并不棘手，只是遵循以下步骤:

• 从有信誉的供应商购买SSL证书，比如戈达迪,科摩多,或赛门铁克
• 按照SSL证书提供程序的步骤安装SSL证书
• 为您的页面实现正确的重定向，从HTTP, HTTPS
• 验证SSL证书并重定向进来谷歌搜索控制台

根据您的web开发经验，以及搜索引擎优化(SEO)，您可以不需要公司开发人员的帮助，自行完成此检查表项。

3.自动化的网站备份

行动项目：建立一个创建网站备份的时间表，或者通过你的网站托管提供商自动化这个过程，比如戈达迪. 您还可以使用以下工具：轻松备份和eBackupper，以及WordPress插件，比如UpdraftPlus和VaultPress，以保存和备份您的网站。

当涉及到网站安全时，备份是你最好的朋友。

有了网站的备份，你就可以快速回应一系列问题，无论是坏掉的页面还是被黑的网站。但问题是，很多企业无法定期备份自己的网站。

不过，解决这个问题很容易。自动化您的网站备份。

以下是一些可以定期备份网站的工具:

• 轻松备份
• eBackupper
• 方便的备份

如果你使用像WordPress这样的CMS，你可以用一个插件自动备份网站，比如UpdraftPlus,总保养,VaultPress. 如果您使用这些插件中的任何一个，请将它们更新到最新版本。

4.限制用户权限

行动项目：限制可以使用用户权限访问和修改网站的人数。在应用程序中利用用户权限设置内容管理系统（CMS）像WordPress一样提供对站点的访问，比如发布内容和修改导航菜单。

让每个人都能访问和更新你的网站会造成一个安全漏洞，特别是当他们没有遵循这个网站安全清单上的其他项目时，比如定期更新密码。

这就是为什么，为了获得最佳的站点安全性，您应该限制用户权限。

例如，如果你使用像WordPress这样的CMS，你的企业应该使用不同的用户权限级别可用，如管理员、编辑和作者。这些角色允许您立即设置用户权限，比如安装插件、发布帖子等。

如果你的公司不使用CMS，那么你就需要限制对网站登录凭证的访问。例如，如果你使用像LastPass这样的密码管理软件，你就不会与你公司的其他人分享这些凭证。

5.安全的在线签出

行动项目：使用地址验证系统（AVS）以及用于所有信用卡签出的信用卡验证值（CVV）表单字段升级在线签出安全性。受信任的AVS提供商包括梅丽莎和罗盖特．使用类似于Shopify还可以帮助您自动实现CVV字段。

您的企业是否接受在线支付？那么你需要一个AVS。

有了AVS，您的公司可以为您的在线结账过程提供额外的安全级别。这些系统的工作原理是防止欺诈支付，这不仅会给你的业务带来麻烦，而且还会损失收入。

一些信誉良好的AVS供应商包括:

• 梅丽莎
• 罗盖特
• 广场

除了使用AVS，您的公司还应该在您的结账过程中添加CVV表单字段。

使用CVV表单字段，您需要购物者输入他们的信用卡安全码，这通常出现在卡的背面。拥有CVV表单字段提供了另一层针对信用卡欺诈的保护。

根据你的公司如何在网上销售，您的网站可能已经使用CVV表单字段。Shopify，一个允许金宝搏188手机登录网公司建立自定义在线商店的电子商务平台，包括CVV表单字段，这使得提高网站的安全性变得容易。

6.更新插件，CMS和更多

行动项目：安装最新版本的CMS，以及插件、附加组件和任何其他工具和服务，以帮助操作您的网站。设置一个提醒，以持续检查更新或打开更新通知，如果可能，以保持您的网站安全和保护不受安全漏洞。

如果你像大多数企业一样，你可能会依靠像WordPress这样的CMS来运行你的网站。

有了像WordPress这样的CMS，你可以使用各种各样的工具和插件，让你的生活更轻松。Yoast SEO例如，是一个帮助公司的插件为搜索引擎优化他们的网站，这可以帮助他们吸引更多网站流量在搜索结果中排名靠前。

然而，问题是，许多企业最终使用过时的、不安全的WordPress插件。

当这种情况发生时，您的网站变得容易受到攻击，这可能会导致客户数据被盗，失去客户忠诚度，以及巨大的经济损失。这就是为什么更新你的WordPress插件和卸载过时的插件是非常重要的，这是良好的网站安全最佳实践的一部分。

如果你的网站运行在另一个允许插件的CMS上，遵循同样的过程。

无论您的公司使用什么CMS，您都应该优先更新CMS。例如，当新版本启动时，在一两个星期后安装最新版本。这种方法将允许您拥有最新的安全保护，但没有初始启动时的bug。

7.投资防恶意软件

行动项目：获取反恶意软件或恶意软件检测软件，以保护您的网站免受恶意软件感染，从而导致客户数据被盗、金钱损失等。一些值得信赖的恶意软件提供商（免费和付费）包括库特拉,SUCURI,阿斯特拉安全．

恶意软件是一个严重的网站安全问题。每一天超过350000个恶意程序被发现，这就是为什么反恶意软件对在线业务至关重要，即使他们不接受在线支付。

使用恶意软件检测软件保护您的公司和客户，如：

• 库特拉
• SUCURI
• 阿斯特拉安全

虽然你会发现一些免费的反恶意软件，但你可能需要一个付费的程序来覆盖你的网站。认为这是一项投资，因为它会保护你的生意、品牌和客户。

8.获取DDoS缓解服务

行动项目：投资分布式拒绝服务（DDoS）缓解服务，以及内置DDoS攻击防护的web主机。DDoS缓解服务提供商包括Akamai,Cloudflare,Nexusguard．

取决于你的主机供应商，你可能已经有DDoS保护。

通过DDoS保护，您的企业可以抵御DDoS攻击，这涉及黑客超载您的网站带宽，使您的网站无法访问。此类攻击发生在小型和知名品牌身上，因此不要低估DDoS保护的必要性。

一些值得信赖的公司提供DDoS保护或缓解服务，包括:

• Akamai
• Cloudflare
• Nexusguard

与其中一家公司合作，让您的网站不仅保持活力，而且安全。

9最小化XSS漏洞

行动项目：降低网站代码中的安全漏洞，也称为跨站点脚本(XXS)弱点，通过使用类似工具“清洗”HTML代码HTML净化器．如果你的网站不使用HTML，你的网站开发者可以添加一串代码来减少漏洞。

每个网站安全检查表都应该包括一项关于减少跨站漏洞的内容。

这项任务可能需要开发人员的帮助，但会有所帮助防止黑客避免将恶意代码直接插入网站代码。如果黑客真的在你的网站上添加了恶意代码，这不仅会伤害网站访问者，而且很难删除。

幸运的是，开发人员可以使用这样的工具HTML净化器“清理”和“清理”网站的HTML代码，这将删除任何恶意代码。对于非HTML网站，开发人员还可以在网站的每个页面上添加一段代码，以减少XSS漏洞。

10.防范SQL注入攻击

行动项目：通过采取几个积极的步骤，包括限制用户权限、实现数据存储过程、使用白名单输入验证等，来防止SQL注入攻击，这种攻击允许黑客窃取用户数据。这些步骤可能需要开发人员的帮助。

把你的开发者带回来，因为你也需要他们来做这个网站的安全检查表项目！

虽然SQL注入攻击不像其他安全漏洞那么常见，但它可以通过接管数据库服务器和窃取敏感的客户数据(从地址到信用卡号码)造成同样大的破坏。

这就是为什么需要实现一些针对SQL注入攻击的保护措施，包括:

• 使用白名单输入验证，这样数据库就可以检测到未经授权的输入
• 限制用户对服务器数据库的权限
• 创建供用户参考的存储过程
• 建立参数化查询，以便数据库能够区分代码和数据

你的开发者可以帮助你检查这些选项，并为你的网站选择最好的。

你的网站有多安全？现在就发现！

与我们的免费网站安全检查，你可以发现你的网站是多么的安全-立即!

现在就尝试一下，对你的网站的安全性进行全面的评估。

如果您需要帮助处理您的结果，WebFX将提供一个内部的、基于美国的web开发人员团队。他们可以为您的业务创建自定义网站安全检查表，也可以为您完成该检查表。

在线联系我们或者打电话给我们888-601-5359如果你想了解更多！