14虚拟主机安全最佳实践(2020)—顶级主机和服务器

当我们考虑网络托管安全最佳做法时,通常是在出现问题的情况下,例如广为人知的大型公司违规行为。媒体广泛报道了涉及暴露的信用卡信息,登录凭证和其他有价值数据的数百万美元的安全漏洞,也许使人们相信只有大型企业才容易受到在线安全风险的影响


不要上当。安全标准对于任何大小的网站都至关重要。这就是为什么网站所有者经常与许多托管服务提供商的销售宣传同时受到安全风险警告的轰炸。您如何将销售炒作与实际风险区分开?

教育是保护您的在线品牌的第一步。让我们介绍一些在网站管理操作中要遵循的最佳做法,以及在潜在的网络托管公司中需要寻找的一些关键安全功能。.

拥有最佳虚拟主机安全标准的10家提供商

在我们深入探讨如何适当保护网站的所有技术细节和细致工作之前,让我们向您展示一大堆托管服务提供商,这些托管服务提供商将为您提供所有这些服务。您仍然可以在本文的后面部分了解Web安全的所有方面,但是这些公司使您学习和实践的风险降低了。我们已经审查了各种级别的托管计划,以找到最佳的提供商。这是我们的建议,按托管计划的类型排序.

安全共享托管

在共享托管方案中,您的站点是许多其他站点共享的服务器上的文件夹。服务器级别的操作和安全需求由主机公司处理。对于不需要大量资源的网站来说,这是一个经济的起点.

尽管共享托管被认为是三个主要托管存储桶(共享,虚拟和专用服务器)中最不安全的,但市场上最好的共享主机将确保您的站点免受标准威胁的威胁。以下是我们首选的共享托管服务.

查看更多安全的共享托管计划»

安全的VPS托管

虚拟专用服务器(VPS)是虚拟机,是在充当其自己的实体或服务器的主机上运行的程序。您与其他客户共享主机,但是每个虚拟服务器都是在客户完全控制下的独立单元.

您仍然可以通过VPS路由获得许多服务器级别的控制和职责,并且不易受到共享托管客户遇到的嘈杂邻居问题的影响。在下面查看专家对于安全虚拟服务器托管的首选:

查看更多安全的虚拟服务器计划»

安全专用托管

使用专用服务器,您就是唯一的客户。尽管托管公司可以为服务器级操作系统更新和安全补丁程序提供帮助,但是您对服务器的硬件,软件和全方位安全性拥有完全控制权,并且有维护责任。当涉及到安全标准时,我们对专用服务器的领先建议也正以身作则.

查看更多安全的专用服务器计划»

最安全的总体:第一托管的托管服务提供商

托管托管意味着您可以在管理网站内容和软件时由主机处理硬件。这种类型的高级托管服务可最大程度地减少团队负责的动手IT工作量,并且至少从服务器基础结构和操作系统的角度来看,安全维护的负担主要由托管公司承担。虽然可以根据您选择的提供商和计划提供多种管理级别,但我们发现托管虚拟主机是您轻松,安全地进行虚拟主机托管的最佳选择。请在下面查看我们的托管托管服务专家评级:

查看更多安全的受管服务器计划»

要寻找的Web主机安全功能

我们大多数人将使用托管服务提供商并选择他们的计划之一。服务范围从共享主机到专用服务器主机。托管服务提供商将采取许多安全措施,但是,根据您选择的计划,您应该提出问题以确切了解公司提供的功能以及您需要做什么.

1.备份和还原点

人们经常忽略备份是安全性的一部分。备份既提供安全又需要安全。遵循我们将概述的其他安全步骤,必须将备份保存在远离主服务器的安全位置。安全备份为系统的最新副本和数据提供了可信任的存储库,可以将其部署以恢复已知的干净系统以进行操作.

拼贴代表网站备份

冗余网站备份是一项关键任务安全功能,我们在进行主机审查时会寻找.

询问托管公司的备份时间表和还原策略非常重要。例如,每周,每月或每天执行一次备份的频率如何?支持代表是否可以帮助您从备份文件还原站点,或者备份仅用于备份?团队会发现并恢复丢失或损坏的文件,还是只从最近的备份中进行完全替换?托管服务将仅使用最新备份,还是可以请求从更远的时间恢复?如果是这种情况,则可以回溯多长时间??

2.网络监控

主机提供商是否监视内部网络的入侵和异常活动?勤奋的监视可以阻止恶意软件在服务器之间传播,然后再传播到承载您网站的服务器。询问有关支持团队如何监视网络,员工是否专门负责此功能以及工程师的需求的一些详细信息。 SolarWinds的网络监控最佳实践指南详细介绍了任何优秀的网络管理团队应遵循的一些程序和政策.

3. SSL,防火墙和DDoS防护

当大量的流量发送到您的站点时,就会发生分布式拒绝服务(DDoS)攻击,从而使访问者无法使用它。防护始于具有良好防火墙的网络边缘。但是,防火墙阻止DDoS攻击的程度存在局限性.

您的提供商可以为您提供一些有关公司防火墙可能阻止哪些入侵以及安全团队采用其他措施的信息吗?如果您有一个计划来管理自己的服务器,则需要了解如何扩展托管服务提供的内容。网络监控人员将在什么阶段通知计划所有者可能影响其站点的潜在问题?

提供者是否提供SSL证书?实施SSL是您的责任,但如果SSL不可用,您将无法执行。我们将在第12节中回到这一点.

4.防病毒和恶意软件扫描和/或删除

您应该了解托管服务提供商将执行哪些保护措施,以及您必须自己采取哪些措施来保护您的网站。支持团队是否对您帐户中的文件进行扫描,您是否可以查看报告?如果您的帐户被感染,支持计划是否包括帮助识别和删除恶意软件?我们从步骤6开始描述的服务器安全步骤将带您走很长一段路,让恶意软件远离您的网站.

5.高可用性和灾难恢复

寻找一家托管公司,该公司可以使您的网站正常运行并保持99.9%或更高的正常运行时间。这超出了文件级备份的范围。您的服务器是否可以使用裸机映像?这是干净,运行正常的服务器操作系统的完整副本,可从系统故障中快速恢复.

主机网络应具有冗余硬件,以防止由于硬件故障而导致的停机。可以将防火墙配置为成对运行,每一个都可以接管全部负载,以防万一另一个出现故障。相同的概念扩展到服务器。硬件故障转移是高可用性网络的重要组成部分.

数据中心笼的图像

您的主机不仅应通过缓解威胁来保护您的站点,还应在灾难发生时帮助您进行恢复.

负载平衡是另一个高可用性功能。在这种情况下,多个服务器已准备就绪,可以处理服务器流量。它们都与存储在网络共享驱动器上的网站数据的同一副本一起使用,并将流量相互传递,因此没有一台服务器负担过重.

服务器安全最佳实践

如果您有计划提供不带管理支持的服务器,则可能必须自己完成部分或全部操作。如果您的计划确实包含一定程度的硬件和/或软件管理支持,则以下内容将使您了解要问哪些问题或人们在谈论什么支持.

6.访问和用户权限

在主机级别,访问意味着对计算机的物理访问以及登录到服务器的能力。物理访问应仅限于经过安全检查的训练有素的技术人员.

您和您的主机公司应使用安全套接字外壳(SSH)或等效工具登录服务器以维护操作系统(OS)或网站。为了提高安全性,请使用受密码保护的RSA密钥。 Digital Ocean和Rackspace都有有关如何执行此操作的教程.

另一个好的安全步骤是将允许访问服务器进行维护的IP列入白名单。可以通过为您的帐户提供的托管公司的控制面板来完成和修改。您还应该禁用从用户root登录。恶意播放器通常会尝试利用此访问点,因为root用户具有完全的管理特权。您始终可以对授权的管理员登录名给予同等权限.

文件受文件权限保护。不正确的权限会导致耗时的错误,因此很容易通过授予所有文件完全权限来修复这些错误。不要这样如果有任何犯罪黑客入侵,它就可以完全控制您的系统。Sucuri网站安全指南包括正确文件权限的入门知识.

7.文件管理

对服务器的所有访问都是远程的。没有人会去服务器上添加,删除或移动网站内容文件。您应使用带有安全可靠密码的安全FTP(SFTP)进行所有文件传输和维护,同时还要遵循其他FTP和SFTP最佳做法.

8.应用程序和登录

托管公司应为员工制定严格的密码策略,并定期更改设备或人员,并强制更改密码。您应该对服务器访问密码具有类似的策略。建立并实施强密码策略。那些想要在几小时内利用弱密码的人.

删除服务器上所有未使用的,未维护的应用程序,以便没有人可以利用未修补的漏洞。安装并维护用于监视服务器CPU,磁盘使用,内存使用和应用程序正常运行时间的实用程序.

服务器上的数据库是在线犯罪分子的潜在脆弱目标。加州大学伯克利分校提供了针对攻击强化数据库的指南.

编码和网站安全最佳实践

即使使用托管计划,您网站软件和数据文件的安全也是您的责任。作为网站管理员,您负责管理您的内容和网站的功能。托管公司不知道您在网站上想要什么或您希望网站访问者如何使用它.

9.密码和用户访问

在网站级别,根据网站的性质,您将获得管理该网站的人员,来宾作者以及潜在的网站访问者的密码。为每个具有后端访问权限的人建立并实施密码强度策略.

描述密码安全性的图像

实施密码强度策略,并要求网站管理员和贡献者定期更新其凭据.

管理员和来宾作者将需要更强的密码,因为他们的帐户可能会对您的网站产生更大的影响。在任何可疑的黑客尝试之后或更新内容管理系统(CMS)或其他软件时,强制进行更改。 [email protected]地址/用户名经常受到攻击,因此不应使用。使用安全的密码管理器生成唯一的复杂密码.

每个帐户持有人应拥有完成其工作所需的最少特权。例如,切勿将管理特权授予来宾作者。您的CMS应该具有一定的特权级别,该特权级别允许他们上传和编辑帖子,仅此而已。每个人都应该拥有自己的登录名,以便对该帐户所做的所有更改负责。高级管理员可以监视所有帐户的活动.

切勿上传无限制的文件。将上传限制为用户真正需要上传的文件类型,并排除脚本或其他可执行代码。上载的可执行文件加上错误的文件访问设置,将使入侵者可以立即控制您的网站.

您的服务器配置文件包括限制访问文件的设置,例如浏览目录,并保护包含敏感信息的文件夹。有关更多详细信息,请参见特定于操作系统的部分.

10.插件,软件更新和备份

始终保持CMS和软件更新。已修补最新版本,以修复所有已知的安全漏洞。更改任何个人可以找到并用于侵入的默认设置,例如管理员登录名。.

在安装插件和其他软件时,请考虑代码的使用期限或上次更新的日期以及安装次数。这些指标使您对产品的安全性和可靠性有所了解。如果它是非活动的,则可能尚未经过安全漏洞审查。注意此软件的下载源。第三方站点可能已将恶意软件添加到程序包中.

在您执行自动,频繁和冗余备份之前,您的网站内容不安全。备份应与主服务器分开存储。这样做的目的是为了保护您的内容免遭所述服务器的潜在故障。服务器上的备份通常会与服务器一起失败,具体取决于灾难的性质。备份应该足够频繁地进行以捕获变化和新的内容,并且备份应该在不需要有人记住每次启动的情况下进行。测试备份,以确保系统正常运行。查看这些重要的网站最佳做法,以了解制定完善的备份策略的更多方法.

如果您具有自定义主题,插件或类似软件,则最好保留安装文件的最新副本。如果它们出现故障或受到损害,则该问题将保存在备份中。安装文件可确保您可以返回到原始的工作副本.

请记住,备份会使您的网站匆忙恢复,但是它并不能解决导致其崩溃的根本问题。例如,如果有人利用漏洞利用来渗透您的网站,则该漏洞仍存在于备份副本中,需要立即修复。.

11.代码审查

代码审查是在开发完成并准备发布之后对应用程序进行的深入检查。最好结合自动化工具和人工检查来完成。审查是在使用该应用程序的整个上下文中进行的-从登录和身份验证到数据处理,加密和存储.

代码截图

代码审查和质量检查应成为开发工作流程中不可商议的部分.

警惕第三方故意将SQL(结构化查询语言)插入到您的网站文件中。 SQL注入是攻击者使用有效的SQL命令响应输入请求(例如用户名)的方法。这些命令可以访问或删除数据。微软的SQL注入指南详细介绍了这些攻击,并提出了减轻风险的方法,例如使用会话变量.

12.加密,防火墙和DDoS保护

Web应用程序防火墙(WAF)监视与特定Web应用程序之间的HTTP通信。这比提供监视HTTP,但不了解Web应用程序的特定要求的网络防火墙提供的安全性更高。可以将WAF配置为防止SQL注入以及其他技术,例如跨站点脚本编写和漏洞检测.

尽管应在网络级别实施DDoS防护,但攻击者可能会使用一种或多种方法来淹没您的服务器,并且站点所有者必须做出响应并相应地保护自己。包括Cloudflare和Incapsula在内的几位值得注意的安全领导者提供了先进的缓解和防御工具及服务,可用于帮助确保站点安全.

最后,当敏感数据往返于服务器时,需要SSL(安全套接字层)技术。 SSL证书不能保护服务器免受攻击或恶意软件的侵害,而是可以加密并保护服务器与使用网站的人之间的通信。通过使用SSL,您可以保护客户的信息并保持他们对您网站的信任.

操作系统安全最佳实践

您采取的某些措施将取决于服务器的操作系统。 Web服务器可以在Linux / Unix或Windows上运行。您通常在选择托管计划时选择此选项.

13. Linux和基于Unix的操作系统

Linux服务器上的服务器配置文件称为.htaccess。您可以在此文件中设置规则,以防止目录浏览以及其他可能暴露敏感信息或使服务器打开其他漏洞的活动。.

尽管PHP(超文本预处理器)语言更加可用和方便,但是在这些服务器上使用它存在风险。这些操作系统具有称为可执行文件的权限,这意味着该文件可以执行代码。使用PHP时限制可执行命令非常重要。这是代码审查的好处.

Linux服务器与Windows服务器映像

通常,Linux / Unix OS的已知威胁较少,响应速度更快。 SELinux和AppARMOR是与这些服务器一起使用的两个安全扩展.

14. Windows操作系统

Windows服务器具有用户特权,例如可执行文件,默认情况下受限制,并且管理员必须输入密码才能获得高级权限。安全措施由这些服务器上的Security Compliance Manager功能指导。设置访问限制的配置文件是web.config。 Microsoft提供了有关安全最佳做法的指南。尽管Windows操作系统存在更多已知的安全漏洞,但是训练有素的Microsoft程序员可以修补缺陷并发布更新,并且可以对事件进行响应.

减轻对您网站的威胁 & 服务器遵循这些标准

尽管安全性似乎令人恐惧,但网站管理员会注意并在良好的托管服务合作伙伴的帮助下运行网站,而不会遇到任何重大中断。掌握一点知识会大有帮助,因此,一旦您的网站启动,不要让学习过程停止。在线安全威胁矩阵正在不断发展,它使您了解最新趋势,标准和紧急威胁。愿安全的网络托管力量与您同在!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me