2020 年要遵循的 10 个虚拟主机安全最佳实践

威胁跟随趋势，并且由于遍布全球的数字爆炸，如今托管网站变得越来越危险。

考虑到大多数拥有网站的人都试图通过这些网站获利，这就更糟糕了，这意味着有可能产生重大影响。

尽管谷歌去年警告要加强对网站移动准备的关注，但 2018 年移动恶意软件攻击也翻了一番。 虽然这具体可能只是松散相关，但可以看到网络安全威胁随波逐流的总体趋势。

网络托管安全可能是一个挑战，尤其是对于资源有限的小型网站。 毕竟，即使拥有数十亿美元网络安全预算的金融机构也可能遭到破坏，我们其他人还有什么希望呢？

不完全正确。

仅仅因为您认为自己没有资源来克服它们而放弃和忽视网络威胁是错误的。 网络攻击花费更多的时间和资源来渗透高价值目标，因为有可能获得丰厚的回报。

但是，对于较小的站点，保持透视并遵循标准的 Web 托管安全最佳实践应该足以缓解大多数问题。 好吧，除非你碰巧让某人对你很不高兴，出于某种原因。

今天，我将与您分享一些网络托管安全最佳实践，并提供可操作的提示，您可以尝试加强防御。

无法访问您的网站？ 你被黑客入侵了吗？ 丢失密码或整个帐户？ 您的核心文件是否被泄露？ 免费的紧急恢复脚本只需单击一下即可解决您的噩梦。

要遵循的 10 个虚拟主机安全最佳实践

1. 坚持使用信誉良好的虚拟主机提供商

您的网络托管服务提供商在您的网站安全中扮演的角色比您想象的要大得多。 从您的网站所在的物理空间进出您的网站的流量，您的网络托管服务提供商在您的安全方面扮演着非常重要的角色。

例如，通常是网络主机负责处理标准项目，例如防病毒和反恶意软件。 一些网络托管服务提供商还提供反垃圾邮件、自动备份和恢复系统，如果幸运的话，甚至可以使用内容分发网络 (CDN)。

提示：在选择虚拟主机时，将安全作为首要考虑因素。 如果您已经托管了一段时间的网站并且它已经发展到可以证明转移到 VPS 托管帐户的程度，我建议您尽快这样做。 VPS 托管提供比标准共享托管帐户更好的安全功能。

2. 使用 CDN

正如我上面提到的，一些网络主机使用 CDN，但如果他们不这样做，你也可以自己做。 CDN 通过在世界各地的服务器上托管您网站的缓存，帮助更快地向访问者提供您的网页。 当请求访问您的站点时，CDN 将首先从最接近请求位置的位置提供缓存数据。

然而，除了速度优势之外，CDN 还利用庞大的服务器网络来提供所谓的负载平衡。 这意味着通过使用 CDN，您可以部分使用他们的服务器资源，并且可以管理更多的访问者。

这与使用 CDN 的最佳部分有关，即防止分布式拒绝服务 (DDoS) 攻击。 DDoS 攻击试图通过向网站发出大量请求来压倒和关闭网站，直到服务器关闭。 然而，CDN 旨在通过其服务器网络抵消这一点来加强安全性。

提示：尝试使用 Cloudflare 作为您的 CDN。 有一些具有基本功能的免费帐户，您可以根据需要进行扩展。

3. 始终使用 SSL 证书

安全套接字层 (SSL) 证书有助于确保访问者在您的网站上共享的任何信息都经过加密并且是安全的。 如今，SSL 变得如此重要，以至于如果网站未使用 SSL，主要的 Internet 浏览器都会警告用户。

SSL 证书有几种类型，每种的价格各不相同。 请放心，如果您经营的是个人网站，甚至是小型企业网站，您可以轻松使用免费的 SSL 证书。 它们易于获取和安装； 事实上，您只需在 Plesk 或 cPanel 中单击几下即可完成。

提示：您可以直接从 Let's Encrypt 获得免费的 SSL 证书，但最好是您的网络主机提供此服务。 5 月的网络主机今天将能够轻松安装 Let's Encrypt 免费 SSL。

4. 始终保留备份

使用 WPX 主机自动备份和恢复

尽管有一些提供备份和恢复功能的网络主机，但有些仍然没有。 无论如何，您应该始终进行自己的备份并保持一组文件脱机，以防万一。 这对您来说可能听起来有点乏味，但您不知道您的主机是如何设置其备份系统的，也不知道在灾难中可能发生什么。 保持离线备份（文件和数据库！）可以挽救生命。

提示：自动化离线备份过程比您想象的要容易，尤其是在您使用 WordPress 时。 使用 UpdraftPlus 备份插件，您可以以任何频率远程备份到您选择的目的地。 您可能还想查看WordPress 的这些备份服务

5.加强密码

您已经听说过它，在电影中看到过它，并且可能会为自己这样做而感到内疚，但使用易于记忆的密码是灾难的根源。 今天的黑客已经足够老练了，他们拥有完整的文件，称为字典，里面装满了常用密码，他们将针对网站的防御进行测试。

从长远来看，僵尸网络可以在大约四个小时内暴力破解一个六字符的密码。 请记住，这一切都是自动化的，因此当您和网络攻击者在睡觉时，机器人会继续尝试侵入网站。

提示：使用更长、更复杂的密码，最好由大小写字符、数字和特殊字符组成。

6.加密你自己的连接

由于您是网站的所有者，因此您与网络托管帐户的连接应该比访问者的连接更安全。 我建议您使用安全文件传输协议 (SFTP) 或通过虚拟专用网络 (VPN) 连接传输文件。

这两种方法都有助于防止任何人试图拦截和窃取您发送到 Web 服务器的数据。 就个人而言，我建议使用 VPN，尽管成本通常高于使用 SFTP 客户端。 VPN 通过加密从您的计算机发出的所有内容来工作，因此涵盖了所有场景！

提示：如果 VPN 不是您的最爱，那么可以使用大量免费的 SFTP 客户端。 我推荐 FileZilla，它非常强大并且是开源的。

7. 保持更新

攻击者试图访问网站的一种方法是利用软件中的已知弱点。 几乎所有软件都存在某种错误或漏洞，并且许多软件都在不断更新，以在开发人员发现它们时堵住这些漏洞。

确保尽可能使您用于网站的所有软件保持最新。 如果您使用的是 WordPress，请确保不仅您的 WordPress 安装保持最新，而且您安装的每个插件或主题也保持最新。

提示：一些网络主机为 WordPress 网站提供一键式更新，这将使您不仅可以快速更新一个网站，还可以快速更新您帐户下托管的所有网站。

8. 使用服务器配置文件

您需要处理的服务器配置文件的类型取决于您使用的网络托管平台。 例如，Apache 使用 .htaccess，而 Microsoft 使用 web.config 文件。 这些配置文件非常强大，可用于增强您的站点安全性。

通过将正确的规则添加到您的服务器配置文件中，您可以防止目录浏览，阻止其他人热链接到您网站上的图像，甚至保护特定文件。

提示：如果您不确定您使用的是什么网络服务器，您可以在此处快速查看。

9.注意文件权限

文件有几个属性，它们定义了用户可以对它们做什么以及由谁来做。 基本上，有三个角色可以与文件交互； 业主、团体和公众。 他们可以对文件做的事情是读取、写入或执行它们。

要真正保护您的网站，请了解重要文件是什么，并检查每个文件设置的权限。 错误定义的文件权限最终可能会导致任何有权访问它的人添加可能损害您网站的恶意代码。

提示：文件权限 666 允许任何人向您的文件写入任何内容——使用此设置时要格外小心！

10. 使用双重身份验证

与第 5 项相关，无论密码有多长或多复杂，它仍然有可能被破解。 如果这真的是您的恐惧症，我强烈建议您寻找 2 因素身份验证 (2FA) 系统。

使用 2FA 意味着除了您的密码之外，您尝试访问的系统必须通过其他方式检查您的身份。 最快和常见的 2FA 方法是通过移动代码进行身份验证。

验证您的密码后，系统将向您的移动设备发送验证码并向您显示验证码。 在获得访问权限之前，您必须将该代码输入系统。 这极大地提高了系统的安全性。

提示：市场上有许多 2FA 系统可用。 如果您使用的是 WordPress，甚至还有一些免费的，您可以像 Google Authenticator 一样试用。

结语：轻声细语，大棒子

虽然在这里我提供了 10 个 Web 托管安全最佳实践的示例，但还有很多，有些可能涉及不止一项，您可以做或注意增强。 因此，网站所有者可能很难跟踪所有内容——尤其是如果这不是您的核心业务。

我建议您制定一份清单，列出需要监控的所有内容，并按频率将其分开。 例如，您需要每天、每周或每月检查哪些项目。 这将帮助您跟上速度。

请记住，您不必拥有完美的网站安全性——这是不可能的。 您真正需要做的是让任何攻击者尽可能地让事情变得困难，以便他们对您的网站失去兴趣并转向更容易的选择。

正如 Teddy Roosevelt 所说，“轻声细语，随身携带大棒” 可以这么说，您的安全防御就是您的大棒。