“网站安全” –坦白地说:您上一次认真考虑该问题的时间是什么时候?您或您的SEO团队最后一次是什么时候花了两秒钟时间了解网站的最新安全趋势?
公司目前可能在SEO上花费了数十亿人命币,但是有网站的企业中有很大一部分甚至都没有考虑过网站安全性。
为什么网络安全很重要
作为一名企业家,您多年来可能在营销和SEO上花费了数百甚至数千人命币,但是数字营销链中最薄弱的环节显然是网站安全性:
百度最近的一项调查显示,国人人对网站安全的了解比他们想象的要少:55%的16岁以上国人人对自己的在线安全性给予A或B的评价,但是70%的人错误地确定了安全网站的外观。
一个某民意测验调查从2019年3月显示,参与网站活动的97%得到至少三分之一的对网站安全的六个问题是错误的。
截至2019年第一季度,勒索软件攻击(一种旨在阻止支付一定金额之前阻止访问计算机系统的恶意软件)上升了195%。
可悲的事实是,在面对恶意软件或勒索软件攻击的真正威胁之前,没有人真正担心网站安全。尽管个人有几种简便且负担得起的方式来确保网络安全,但小型企业甚至大型公司都将其视为他们不愿支付的费用和不愿学习的复杂过程,因此他们不会愿意主动。
随着这种威胁隐现在每个业务和服务站点上,每天花费更多的时间和金钱来保护网站安全变得越来越重要。因为如果您的网站遭到入侵,您的整个业务都会受到损害。
迈向安全网站的第一步
网站安全性的基础始于现有HTTP上的SSL / TLS。
SSL代表安全套接字层,简而言之,它是保持Internet连接安全并保护在两个系统之间发送的任何敏感数据的标准技术,可防止犯罪分子读取和修改任何传输的信息,包括潜在的个人详细信息。
TLS代表传输层安全性,它只是SSL的更新,更安全的版本。我们仍将安全证书称为SSL,因为它是一个更常用的术语,但是当您从Symantec购买SSL时,实际上是在购买最新的TLS证书。
HTTP和HTTPS有什么区别?根据SEOPressor:
HTTP代表超文本传输协议。最基本的说,它允许不同系统之间的通信。它最常用于将数据从Web服务器传输到浏览器,以允许用户查看网页。基本上所有早期网站都使用该协议。
HTTPS代表安全超文本传输协议。常规HTTP协议的问题在于,从服务器流向浏览器的信息未加密,因此 很容易被盗。HTTPS协议使用SSL证书对此进行了补救,该 SSL证书有助于在服务器和浏览器之间创建安全的加密连接,从而防止潜在的敏感信息在服务器和浏览器之间传输时被盗:
从HTTP切换到HTTPS既不复杂也不费时(请参阅下面的“如何将HTTPS添加到您的网站”)。使用HTTPS,服务器和客户端都可以以相同的方式继续进行对话,但对其请求和响应(即数据)进行完全加密:
但是,使用额外的加密层并不是所有人都安全。SSL认证不能确保完全的安全性。甚至HTTPS站点也面临着相当一部分的网络钓鱼攻击。
这就是为什么您需要采取适当的措施来确保站点安全,而不仅仅是依靠HTTPS来获得完整的站点安全性的原因。
如何将HTTPS添加到您的网站
您可以按照以下一些简单的步骤从HTTP切换到HTTPS:
购买SSL证书
购买SSL证书并不难。首先,请与您的网络托管公司联系。您的托管计划中是否包含证书?如果价格和证书类型符合您的要求,请与他们联系,以将其添加到服务中。
或者,您可以寻找证书颁发机构。寻找更优惠的价格和证书类型。接下来,购买并验证您的证书。SSL证书可以具有多种类型,包括DV,OV,EV,多网站和通配符。
验证并安装证书
购买符合您要求的SSL证书后,就可以进行验证了。验证可能需要几分钟到几天的时间,具体取决于您的证书类型。
从认证中心收到消息后,请下载文件。
安装过程将取决于证书的来源。网络托管服务通常会接管安装并简化网站管理员的步骤。
您可以通过以下方式安装从网络托管服务外部购买的证书:
登录到您的网络托管经理帐户。
转到“安装SSL证书”选项。
输入SSL证书,需要SSL的域名和密钥(您的证书颁发机构应向您提供密钥和SSL证书)。
点击“安装”。
验证SSL证书
下一步是验证,为此,您需要注销Web托管管理器和网站编辑器界面。然后,检查地址栏-它显示HTTPS标签吗?除了HTTPS地址,您还应该看到以下内容:
地址栏中的绿色挂锁
您的公司名称(EV证书)
一个绿色地址栏(EV证书)
更新您的网站链接
通过控制面板安装SSL证书应该可以将HTTP站点无缝切换到HTTPS。除了主站点页面之外,您还需要检查其他具有指向您站点链接的内容:
社交媒体帖子和简历
托管您的网站内容的博客
网络营销和销售资料
在线论坛资料
直接链接到您的网站徽标的合作伙伴网站
注意:请记住,您的旧社交媒体,博客文章和嵌入式链接仍可能会将流量引导到网站的HTTP版本,因此您需要手动梳理过去的非现场帖子以修复这些旧链接。
在网络安全领域中,除了HTTPS之外还有什么?
虽然HTTPS是必不可少的,但它并不是网站安全的全部。网站在运行时面临许多不同类型的网络安全威胁,例如:
1)SQL注入
一个SQL注入是代码注入技术和邪恶的负面SEO技术,刑事黑客(或竞争对手)可能部署,以降低您的网站。攻击者通过通过网页输入(例如,用户使用SQL语句输入“用户名”)将代码注入易受攻击或损坏的数据库内容中,从而可以访问数据库的后端。它仍然非常有效,因此仍然是最常见的威胁之一。
它可能影响使用MySQL,Oracle和SQL服务器的任何网站。
如何检查您的网站是否受到SQL注入攻击
为防止SQL注入攻击,您可以使用可信赖的防病毒软件程序运行漏洞扫描。使用SQL Injection Online在线测试工具来确定网站是否正在遭受攻击。
请遵循以下规则来防止SQL注入攻击:
您永远不要直接包含输入内容,而要清除所有输入内容。
仅提供对用于与数据库连接的帐户的必要访问权限。
不要在错误消息中显示SQL语句;而是使用通用消息。
2)安全性配置错误
安全性错误配置可能包括缺少SSL证书,但它们通常包含更多因素。它们涵盖了几乎所有类型的漏洞,这些漏洞是由于缺乏维护和更新网站应用程序而导致的。
过时的插件或第三方未经授权的网站插件会导致安全配置错误。它们可以为攻击者提供一个利用Web数据库中敏感信息的窗口。此外,数据库安全性可能会因用户权限滥用,身份验证不当或不良的数据备份做法而受到损害。除了成功导致勒索软件攻击外,这还可能导致网站完全关闭。
如何加强适当的网站安全性
网站安全始于HTTPS。但是,您需要更深入地了解插件的状态,更新CMS引擎并在您的站点上安装安全软件。安全配置需要在应用程序,应用程序服务器,框架,数据库服务器,Web服务器和平台级别上实施。
这些是可以影响当今任何网站的最常见漏洞。将您的站点更新为HTTPS可能不足以阻止这些攻击,因此您需要考虑SSL证书以外的内容,以保护您的网站数据库和用户安全。
3)跨站脚本(XSS)
XSS包括将恶意脚本注入网站,这是另一种负面的SEO策略。攻击者利用Web应用程序以浏览器脚本的形式向用户发送恶意代码。
受信任站点的毫无戒心的用户很可能会单击该代码,从而使代码可以访问该用户的Cookie,敏感的浏览器端信息和会话令牌。XSS脚本还可以重写HTML网站页面的内容。
最后,您不得将百度设置为防病毒软件。百度会标记不可靠的网站,并将那些会对用户构成威胁的网站列入黑名单,但是依靠百度的更新并不是一种主动保护您网站安全和SEO的方法。
如果要增强SEO并改善网站访问量,请始终以HTTPS开头。然后,考虑投资建立一个网站监视系统,该系统监视的不是您网站的SSL认证。