信息安全是个大的话题,对于我们这些小站长们,有哪些是需要我们注意的呢?今天杜老师聊聊云主机需要哪些安全设置!

系统以及网站密码

  1. 简单密码。简单密码扫描无处不在,您现在访问的这个博客,几乎每隔几分钟就被扫一次,任何时候,任何场景,不要使用123456/abcdef这样的简单密码,哪怕就是改个简单密码给某人登陆下后台,几分钟后就改回来也会有极高的被扫风险;

  2. 陈年密码。您的扣扣密码、邮箱密码、主机密码、微博密码、微信密码等等,设置成都是一样的,或者都是从接触互联网就在用的密码,这很恐怖,在漫长的互联网使用过程中,可能注册了很多站点的会员,在长期使用过程中,您的密码可能早已泄露,说不定您到某工库一查,发现您所有在用的密码都在上面;

  3. 拼接密码。您的银行卡密码是您或您家人的生日,您的微信密码是您的姓名拼音加生日或电话或身份证的号码,也可能是其它个人信息拼接,这样的密码极容易被有心人暴力破解,只要掌握一定量的私人信息就很容易猜出您当前可能在用的密码;

  4. 特殊含义。如P@ssw0rd12#$,这种密码看似特别复杂,包含大小写的字母,还有数字以及特殊符号,但这类的密码同样容易破解。

系统以及网络安全

  1. 定期检查并修复系统的漏洞;

  2. 开启系统的防火墙,只放行要用的端口;

  3. 修改SSH端口号;

  4. 禁Ping;

  5. 限制root等用户权限;

  6. 安装悬镜、云锁、安全狗等安全软件(装一个就够了)

网站安全相关设置

  1. 隐藏后台管理入口;

  2. 除了update/cache等少数目录,其它所有目录都给只读权限;

  3. 在Nginx/Apache配置中限制除了入口目录及资源目录以外的所有目录的访问权限;

  4. 如若网站程序支持,尽量使用PHP5.4以上的版本;

  5. 如非必要,不要给站点创建FTP,或者使用完就删除站点的FTP帐户;

  6. 如非必要,不要对外开放3306数据库端口,并且隐藏好phpMyAdmin位置,最好设个访问密码;

  7. 如果允许尽可能开启SSL;

  8. 若使用Nginx,尽量使用WAF防火墙,可有效防止绝大多数Web攻击。

其它辅助安全操作

  1. 保护好网站的源码及数据库备份,请不要将数据库备份及网站源码包放在站点根目录;

  2. 各大云服务的厂商都有安全检测服务,定期查看检测结果并处理警报项;

  3. 可添加CDN服务,避免暴露云主机真实IP;

  4. 不要使用破解版的网站程序。

评论