网站安全快速检查清单

2007年10月5日星期五

发表者: Nathan Johns , 搜索质量组

原文: Quick security checklist for webmasters
发表于: 2007年9月18日,星期二,12:34AM

最近几个月,失密网站的数量明显增多。一种解释是黑客黑掉了一些网站来发布恶意软件或制造垃圾搜索结果。不论是何原因,这是我们为站长们提供一些网站安全方面的小技巧的好时机。

免责声明 :虽然我们收集了很多小贴士以及链接,我们也鼓励管理员“请在家中尝试以下方法”,但是这绝不是一个保护你网站安全的完整清单。我们希望它有帮助,但我们也建议您要对网站安全进行更深入的研究。
  • 检查你的服务器配置
在Apache的网站上有一些 安全配置技巧 , 微软也有一个 IIS技术资源中心 。其中的主要技巧包括目录权限信息,服务器端包括认证和加密信息。
  • 总是使用最新的软件更新和补丁
人们经常犯的的错误是在自己的网站上安装一个论坛或博客软件,然后就再也不管了。就像你的车总是要保养一样,保持对你安装的任何软件的最新更新也是很重要的。需要一些小贴士? Mark Blair的博客 上有一些很好的,包括为你网站上所有的软件和插件列个清单,并跟踪版本号和更新历史。他还建议利用任何软件开发者网站提供的feed。
  • 经常留意你的日志文件
养成这个习惯有很多好处,其中之一就是安全性的增加。你可能会对你的发现有些惊讶。
  • 检查你的网站,看看有没有常见漏洞
避免存在有开放权限的目录。这几乎就像把你家的前门敞开,门前的垫子上写着“来吧,请随意!” 你也要检查任何 xss (跨站点脚本)和 SQL注入 漏洞。最后,选择好密码。你可以依循Gmail支持中心的一个很好的 指南 ,它会帮助你选择一个密码。
  • 警惕第三方内容提供商
如果你正考虑安装一个由第三方提供的应用软件,例如一个控件,计数器,广告网络,或网络统计服务,一定要非常小心。虽然网络上有很多非常好的第三方内容,有些提供商也可 能利用这些应用软件来干坏事,例如对你的访客有危险的脚本。要确保应用软件来自有信誉的提供者。他们有一个合法网站吗?他们提供技术支持吗?他们有联系信息吗?有其他管理员用过该软件吗?
  • 尝试在Google上用site:搜索来看看Google索引了你的什么网页
这看似有点明显,但它经常被忽视。对你的网站做一个例检并确保一切正常总是有好处的。不熟悉site:搜索操作?它是一个让你只在一个具体网站上搜索的方法。举例说,搜索 site:googleblog.blogspot.com 只会返回谷歌官方(英文)博客的结果。
谷歌的站长工具是免费的。它还有各种各样的好功能。譬如,它有关于你的网站的状态数据和管理Googlebot抓取您网站的工具。另一个亮点是,如果谷歌认为你的网站已被攻陷并被放置了恶意软件, 我们的 站长控制台会显示更详细的信息 ,如一些有害网址的样本。一旦你认为恶意软件已经被删除,你可以通过站长工具来要求重新审查。
  • 使用安全协议
数据传输应该用SSH和SFTP,而不是象telnet或FTP的纯文本协议。 SSH和SFTP会加密,也就更安全。关于这个和其他许多有用的小技巧,请参考StopBadware.org的 清除和保护你的网站的小技巧
这个博客上有很多很好的关于线上安全的内容并有指向有用资源的链接。建议你把它加到你的Google Reader Feeds。:)
  • 从您的网站寄存服务公司寻求支持
许多网站寄存服务公司都有技术服务组。如果你觉得有点儿不对劲,或者仅仅想确保你的网站是好的,你可以访问他们的网站或给他们打一个电话。

我们希望你能从我们的小贴士中发现有用的信息。如果您想分享你自己的技巧,请为这篇文章发表评论,或者在 谷歌站长帮助小组 开一个讨论。立即动手,让你的网站更安全!