正如來自全球的數(shù)據(jù)所充分強(qiáng)調(diào)的那樣，網(wǎng)站保護(hù)是企業(yè)生存和發(fā)展的核心。例如，43% 的數(shù)據(jù)泄露受害者是小型企業(yè)，其中 69% 被迫在攻擊后 6 個月內(nèi)關(guān)閉。盡管越來越多的企業(yè)主對網(wǎng)站保護(hù)表示擔(dān)憂，但仍有許多人認(rèn)為他們的網(wǎng)站在某種程度上可以抵御這些惡意攻擊，或者簡單的漏洞掃描程序就足夠安全了。這種對 Web 應(yīng)用程序安全性的懶散方法，加上攻擊的殺傷力和復(fù)雜程度不斷提高，導(dǎo)致攻擊的數(shù)量不斷增加。

網(wǎng)絡(luò)攻擊造成的損失是巨大的——平均為 392 萬美元。網(wǎng)站保護(hù)的簡單而有效的步驟（將在本文中討論）可以極大地加強(qiáng)Web 應(yīng)用程序的安全性，并為企業(yè)節(jié)省這些巨額成本。

保護(hù)您的網(wǎng)站免受攻擊的 9 種方法

1. 穩(wěn)健且不斷發(fā)展的安全策略

全面、主動和深思熟慮的網(wǎng)絡(luò)安全戰(zhàn)略是加強(qiáng)網(wǎng)絡(luò)安全的重要起點(diǎn)。鑒于威脅形勢正在快速發(fā)展，經(jīng)常發(fā)現(xiàn)新漏洞并且網(wǎng)站面臨的風(fēng)險正在迅速變化，因此沒有最好的安全解決方案或策略。因此，保持最新的安全性并不斷調(diào)整策略至關(guān)重要。

2. Web 開發(fā)階段的安全性

由于不安全的編碼實(shí)踐、選擇具有已知漏洞和安全錯誤配置的框架以及使用不安全的主題、插件等，通常會在網(wǎng)站中引起漏洞。因此，必須在 Web 開發(fā)階段通過選擇安全框架、編碼實(shí)踐和組件，始終進(jìn)行以安全為中心的測試，并采用以安全為中心的思維方式來建立 Web 安全。

3. 更新一切

網(wǎng)站上的所有內(nèi)容，從使用的軟件和第三方組件到插件、庫等，都必須更新，因?yàn)楦轮邪P(guān)鍵補(bǔ)丁。這些關(guān)鍵補(bǔ)丁修復(fù)了漏洞，因此不容忽視。必須從網(wǎng)站中清除過時或未接收更新的組件，因?yàn)樗鼈優(yōu)楣籼峁┝酥匾木W(wǎng)關(guān)。

4. 強(qiáng)大的訪問控制

通過加強(qiáng)訪問控制可以防止各種攻擊，例如暴力攻擊。

• 多因素身份驗(yàn)證和強(qiáng)密碼策略是必須的。
• 必須將用戶分類為特定角色（所有者、管理員、公共、組等），并根據(jù)信任授予訪問規(guī)則。必須遵循最小特權(quán)原則。
• 每個用戶都不能訪問管理目錄。
• 必須盡量減少登錄嘗試。
• 必須強(qiáng)制執(zhí)行自動注銷/會話到期。
• 文件上傳必須非常嚴(yán)格，因此上傳的文件不得直接訪問網(wǎng)站。它們必須存儲在外部位置、解析并安全地傳送到瀏覽器。

5. 安裝 SSL

SSL 用于確保在主機(jī)（服務(wù)器/防火墻）和客戶端（瀏覽器）之間傳輸?shù)臄?shù)據(jù)，尤其是敏感和機(jī)密數(shù)據(jù)是加密的。當(dāng)網(wǎng)站受到SSL 證書的保護(hù)時，HTTPS 會自動出現(xiàn)在 URL 中，從而喚起對用戶的信任。

6. 輸入凈化/驗(yàn)證

通過確保用戶在評論、反饋和其他用戶輸入表單中的輸入得到驗(yàn)證，可以防止一系列社會工程攻擊、XSS 攻擊、XXE 攻擊等。特殊字符必須列入白名單。不得在這些用戶輸入字段中輸入代碼。

7. 使用智能漏洞掃描器持續(xù)掃描網(wǎng)站

確保網(wǎng)站受到保護(hù)的一種有效方法是使用智能、自動化的網(wǎng)站漏洞掃描程序進(jìn)行持續(xù)掃描（每天和按需）。通過這種掃描工具可以有效識別已知漏洞。當(dāng)掃描儀是更大的安全解決方案的一部分時，可以保護(hù)已識別的漏洞。

8. 部署一個 Web 應(yīng)用程序防火墻來前端您的應(yīng)用程序

Web應(yīng)用程序防火墻可以制定策略來阻止用戶，或者對于特定模塊僅允許特定類型的請求/用戶。它可以是根據(jù)不斷變化的威脅形勢和應(yīng)用程序的動態(tài)性質(zhì)快速部署風(fēng)險緩解步驟的有效場所。

Web 應(yīng)用程序防火墻必須具備以下功能：

• 能夠根據(jù)應(yīng)用程序安全評估確定的應(yīng)用程序的當(dāng)前風(fēng)險更新和部署規(guī)則
• 擁有 24×7 的安全專家，專門從事 WAF 簽名，并提供管理能力以根據(jù)應(yīng)用程序上下文更新 WAF 規(guī)則和配置
• 可以阻止常見攻擊（如 DDoS 和 Bot 攻擊）的常見簽名，獨(dú)立于安全評估確定的應(yīng)用程序風(fēng)險
• 確保解決方案提供支持和保證，以 SLA 和懲罰條款為后盾，不會出現(xiàn)誤報
• 與網(wǎng)站加速模塊集成或還提供網(wǎng)站加速模塊，以確保在安全性和性能之間沒有權(quán)衡

9. 加入全面而強(qiáng)大的安全解決方案

安全解決方案必須具備以下功能：

• 一個智能的、自動化的網(wǎng)站漏洞掃描器。
• 有效的誤報管理
• 強(qiáng)大、全面和托管的 WAF，可監(jiān)控流量、立即阻止不良流量并虛擬修補(bǔ)漏洞直至修復(fù)。
• 定期進(jìn)行安全審計(jì)和滲透測試，以識別業(yè)務(wù)邏輯缺陷并加強(qiáng)安全性。
• 經(jīng)過認(rèn)證的安全專業(yè)人員的專業(yè)知識，可根據(jù)業(yè)務(wù)需求和環(huán)境定制安全性。
• 安全分析

結(jié)論

為了有效地保護(hù)網(wǎng)站，企業(yè)必須始終比攻擊者領(lǐng)先一步。簡單而有效的措施可以提高安全性和對AppTrana等強(qiáng)大、智能和托管的 Web 應(yīng)用程序安全解決方案的戰(zhàn)略投資，這些措施可以節(jié)省數(shù)百萬美元的罰款、恢復(fù)成本和聲譽(yù)損失。