运维工程师手把手教你提高网站的安全性

一、一个完善的网站结构

在很多用户的视角里搭建网站只有一个需求，就是一台云服务器让后将我们的网站源码放到目录下解析一下域名就完成了。其实这个需求从根本上讲是没有问题的，但是这只能算是搭建了网站并没有做到安全防护，这样的结构实际上危险丛生。

一个好的网站结构应该包括：防火墙-日志审计-数据库审计-流量清洗等业务功能，最后才是我们的云服务器。可是我们只需要建造网站很多时候并不具备提供完整结构的能力。这就导致我们的业务站点暴露在更多的危险之中。

二、网站常见威胁

1. 网络钓鱼

顾名思义攻击者通过伪造公司高层通知、银行或其他机构的邮件意图引导用户使用受攻击业务的账号密码登录恶意网站从而记录用户账户数据或者欺骗用户安装黑客精心制作的攻击程式对用户电脑进行权限控制。

2. 0day攻击

所谓的0day指的是当前除攻击者外无人知晓的漏洞，也指当前在网络安全界没有补丁的漏洞。

3. 常见通用漏洞

我们目前常见的通用漏洞有：

（1）SQL注入

一种代码注入技术，主要攻击数据驱动的应用程序。被攻击后黑客可以获取当前数据库数据，或者直接命令执行。

（2）XSS

获取用户身份认证cookie信息。

（3）命令执行

非法直接执行恶意命令在服务器上。

（4）敏感信息泄露

用户数据、员工信息、网站配置等信息因为配置不当造成直接暴露在外。

（5）任意文件操作（读取/上传/下载）

非法对任意文件进行操作。

（6）弱口令

密码简单导致容易被攻击者猜解。

（7）逻辑漏洞等。

此处列举两个常见通用漏洞存在并触发漏洞的情况图片：

图 1 XSS漏洞导致的弹窗

看上去好像就是一个普通的通知弹窗，但是实际上它在专业安全人员手中可以获取到用户登陆用的身份认证信息，恶意引导用户跳转攻击网站甚至命令执行。但是并不是所有的弹窗都是漏洞导致的！

图 2 文件读取漏洞

存在这个漏洞的话，攻击者精心构造了攻击payload语句则可如图中所示获取到系统上的敏感文件内容。

4. DDOS/CC攻击

分布式拒绝服务攻击，CC攻击是属于DDOS攻击的一种类型。

DDOS攻击者利用已经控制的多个攻击源同时向一台主机或网络发起DOS阻塞攻击。

CC则是使用代理服务器向受害服务器发送大量貌似合法的请求让服务器处理造成服务器资源耗尽或宕机。

三、一些建议

鉴于以上两个内容我们大致对健壮的网站结构和常见WEB（网站）漏洞都有了一定的了解。但是也看得出其中难点：1）一般企业没有能力构建健壮的网站结构；2）漏洞复杂类型多需要完整防御难。我们接下来就一个点一个点和广大用户解析应该如何解决这些问题。

1）直接使用云厂商提供的安全架构完善的云服务器

在我们自己没有能力没有设备去完完整整建设一个属于我们的健壮网站结构时，直接选择云厂商提供的云主机就成了免费领取一个健壮网站结构的好去处。这个时候我们只需要购买相应的服务对比每年自己花大几十万去从头建设快捷很多。正规靠谱的云厂商他都有完整的网站结构，开始提到的防火墙、日志审计等功能都是完善的。

建设网站首先要选择云服务器，给大家推荐蓝队云。蓝队云云计算平台安全架构完善，有安全监测、流量监控、抗DDOS等等功能，最底层的安全架构都已经给你搭好了。蓝队云是十多年的老牌云计算服务商，已经服务全国10W+用户，像云南白药、九机网、薇诺娜等知名企业都在使用我们的云服务器。蓝队云还是国家互联网应急中心（CNCERT）网络安全应急服务支撑单位，在2021年被聘选为联合国《生物多样性公约》第十五次缔约方大会（COP15）网络安全保卫组特聘技术支撑单位，2022年获颁第一届云南省网络安全应急技术服务支撑单位，网络安全能力有保障。

蓝队云 - 领先的云服务器、服务器租用托管、域名注册提供商https://www.landui.com/?zhihu0&refresh=1

2）选择好云主机后漏洞该如何防御

类似于通用的漏洞包括DDOS，直接选择目前市面上的安全软件都是可以的。网站防护就在服务器上安装：D盾、安全狗网站版、创宇盾、云锁等软件即可。

服务器本身的防护就安装：安全狗服务器版、火绒、360都是可以的。

当然了选择一款安全性高（漏洞少且难以利用、当前没有已知漏洞）的网站源码（cms系统）也是可以再很大程度保证安全的，比如：Thinkphp-5.0.24、

拓尔思最新版等等都是可以的，尽量也保证下载当前最新的版本即可。