如何保护网站的安全

网站的安全一直以来都是站长所关心的一个问题，但是随着科技的发展，互联网存在的隐患越来越多，导致大型网站的安全性也得不到保障，那么如何保护网站的安全呢？

始终保持平台和脚本的新状态

确保安装的所有软件、任何框架、CMS、第三方插件、论坛或库都始终保持新状态非常重要，因为这能保护您的网站。一直在寻找您软件中可以找到的任何安全漏洞或脚本漏洞来使他们能控制住您的网站。作为开源软件程序创建而成的软件工具代码很容易获取，所以可能会被恶意所滥用。不过，开发人员们一直在努力检测出开源解决方案中的缺陷和安全漏洞，以便他们能更快地将其修补完毕。当您在网站上使用第三方软件时，请在新版本一经发布之后立即对其进行更新（特别是当它们包含安全补丁时）。大多数软件会包含有关当前网站安全问题详细信息的邮件列表或RSS馈送，这样一来，您在登录时就可以立即对其进行了解了。另外，许多CMS解决方案也拥有可用的自动更新插件，如easy update manager可用于WordPress网站，而SP Upgrade扩展项则可用于Joomla，这能使您更简单地更新您的系统。但是，即便是这些插件和其它扩展项都必须接受定期的检查更新。

加强您的密码

我们每个人都非常清楚使用复杂密码的重要性，但我们大多数人都没有那么去做。因此，请为您的服务器资讯news.webhostin***和网站管理区域设置安全系数高且随机的密码，因为您的密码不要很容易就被他人猜到，而且您还应该专注于为您的用户介绍良好的密码保护做法，从而避免他们的账户遭到入侵。您必须执行密码要求，如至少包含八个左右的字符（包括大写字母、特殊字符和数字）来长期保护您的网站。此外，您还必须使用SHA-2这类的算法将密码存储为加密值，这样一来，在验证用户时仅需要比较他们的加密值便可。为了增加网站的安全性，您还可以对密码进行“加盐”，从而在发生任何不可预见的事件（如您的密码被盗）后减少损失。在使用加盐密码后，破译它们的过程就会变慢，因为对每个加盐密码进行的每次猜测都必须分别实施散列，而这对来说很费力。虽然CMS确实能提供内置了网站安全功能的现成用户管理，不过使用加盐密码或设置低密码强度可能还需要某些配置才行。另外，您还必须限制特定时间段内的尝试登陆次数，其中包括极易被入侵的密码重置。

使用命令参数来阻止SQL注入

SQL注入攻击现在普遍存在，并在过去一年内对各企业和组织造成了重大的损害。去年，SQL注入针对Mossack Fonseca、Epic Games 论坛、亚利桑那州的选民数据库以及美国政府进行了攻击。当攻击者通过Web表单字段或URL参数插入恶意代码来获取数据库的访问权限时，他们就是在实施SQL注入攻击。 这种分阶段式攻击会通过如输入通道、查询字符串、Cookie或文件这类的Web请求来向数据库服务器发送恶意SQL命令。 另外，SQL注入还可以插入新的用户帐户、删除现有的用户帐户、查看受限的记录和信息、更改记录内容或甚至入侵服务器的操作系统。

您必须经常检查每个页面的代码，因为这是您整合页面内容、命令、字符串以及用户的更多信息源的地方。审查漏洞和安全漏洞的源代码可以帮助您更好地保护您的网站，而且，经常使用参数化查询很容易就能阻止SQL攻击，因为大多数Web语言都具有此功能，而且它也很易于实施。您可以通过在SQL命令中添加占位符名称来对命令参数进行定义，而这在之后可以为用户输入所替换。如果您首先定义SQL代码，并且仅在执行期间将输入添加到SQL查询中，那参数的内容就不会被用作是查询代码的一部分而接受解析了。这样一来，数据库就知道存储在参数内的任何数据都只是输入，从而不会被故意欺骗而将这些数据作为代码进行读取了。为此，AS***设立了一组易于使用且可以自动评估恶意内容的用户输入的API，而在PHP中，使用预处理语句会更多地涉及此过程。另外，如sqlmap这类的可用扫描工具可以抓取您网站的页面以检测潜在的SQL注入漏洞。