自動外鏈工具 在線排版工具 搜索引擎提交入口 wordpress主題推薦 批量打開網址工具 【老域名購買】 思享SEO導航 【網站合作】

網站一般存著哪些安全風險?如何應對

1205
文章目錄
  1. 網站安全應對方案
  2. 網站安全方案實踐
  3. 自主選擇主機防護

5月25日,VIP大講堂-網站安全那些事兒成功舉辦,百度云加速為大家帶來網站安全風險及應對方案,學院君將現場演講提煉成圖文概括版,快來看吧!

百度云加速主要給大家帶來:

網站安全風險介紹

網絡流量劫持

訪問請求通過dns劫持或者HTTP 302的方式被重定向,返回響應中被插入惡意內容。

典型的像插入tn后綴跳轉和插入色情廣告;既影響了用戶訪問體驗,增加了網站違規風險,又減少網站流量收益。

搜索返回劫持

通過搜索結果第三方網絡內容進行劫持或網站主動作惡,使得用戶操作返回按鈕時,返回到假百度頁,從而操縱返回后的搜索結果頁。

劫持者可以替換任意的搜索結果,可以將競爭對手的詞替換成自己的網站鏈接,干擾正常網站的流量收益。

JS跳轉到代碼

  1. 支持任何手機搜索引擎如百度,360.搜狗,神馬。
  2. 兼容全部手機瀏覽器
  3. 任何關鍵詞搜索都可以實現劫持跳轉
  4. 防查防封防舉報:PC端打開網站無跳轉,PC端通過搜索進來的業務跳轉,手機端直接輸入網址打開手機網站返回無跳轉,只能是手機端通過百度,360,神馬,搜狗搜索引擎搜索關鍵詞的進入到手機網站才有返回跳轉
  5. 網站內部之間無跳轉,代碼可以加全網站,不用擔心站內無法返回前一個頁面,只有用戶手機按返回離開網站的時候才有跳轉

使用方法:

在網站上安裝好代碼之后,從百度過來的流量,如果從按返回鍵或者后退本來應該退回百度搜索,但是用了我們的代碼之后回退就會回到我們自己定制的假百度搜索頁面,展示效果和百度推廣一模一樣

假百度搜索有點

  1. 真實度和百度手機搜索100%相近,用戶分不出來真假
  2. 搜索結果任意替換,想替換競爭對手的,點擊他們的進入到自己網站
  3. 競爭對手詞任意替換。可以把他們的詞替換成自己的
  4. 自己添加廣告位,點擊廣告免費
  5. 默認搜索第一頁三個廣告位,兩個創意廣告,一個免費電話廣告,第二頁是一個廣告位,點擊廣告位都是免費的,根據客戶需求可以任意修改
  6. 好大夫、120ask、競爭對手的域名等等可以替換成自己的,打開是自己的網站
  7. 相關搜索默認打開是自己的網站,廣告價值利于最大化
  8. 假百度搜索屏蔽競爭對手的醫院名稱,搜索他們的顯示是自家的
  9. 假百度首頁按按手機返回鍵一直返回的是假百度首頁,用戶返回不了真百度頁面

網站被黑掛馬

黑客利用漏洞和滲透技術,黑掉網站服務器,然后在網站掛木馬或者插入惡意內容

被黑后,所有風險由站長承擔,收益與站長無關

網站安全的第一個風險是網絡流量的劫持,舉個case,一家做鮮花的電商,本來在百度的訂單轉化非常好。結果最近發現,用戶在打開網站的時候,里面插入了尺度比較大的色情廣告,導致網站轉化率非常低。用戶做測試發現是被劫持了,被劫持之后我們給站點方案和指導,后面劫持的現象就消失了。網絡流量劫持非常普遍,站點流量損失有20%左右,對站長帶來的傷害非常大。

第二個風險:搜索的返回劫持,就是常見的假百度,用戶通過訪問百度點擊第三方站點,在瀏覽器上做回退的時候,跳到一個假百度,這樣的情況對用戶傷害極大,是百度堅決不允許的。

第三個風險:網站被黑,掛木馬;會導致在網站上放置惡意廣告,而網站不知情,這種風險甚至會讓站點承擔法律責任。

網站安全應對方案

網絡流量劫持

使用HTTPS可以解決針對網絡通道的劫持和惡意內容插入

搜索返回劫持

網站和搜索廠商都支持HTTPS,加強生態和協作建設,打擊主動作惡者

網站被黑掛馬

使用第三方主機防護產品或運防護(WAF web應用防火墻),快速修補漏洞,加強服務器安全管理

網站安全方案實踐

方案1

  • 網站選擇主機防護產品并部署
  • 網站自主進行HTTPS改造

方案2

  • 使用云WAF防止網站被黑
  • 使用云平臺進行網站HTTPS改造

自主選擇主機防護

網站自己選擇對應的主機防護產品和WAF產品進行部署,也可以根據業務特點,自己開發相應的防護軟件

可選的主機防護產品類別有服務器安全加固、入侵防護系統、病毒木馬查殺、內容防篡改等的,對應的產品廠商有安全狗、云鎖、防衛神、主機衛士等。

自主進行主機防護,需要對市面上的主機防護相關技術及產品類別、特點有比較清楚的了解,并且還需要對各家產品進行系統規化的搭配組合才能有較好的效果。實施起來費時耗力,復雜度也高,升級維護麻煩,對服務器資源也有消耗

使用云WAF

使用云WAF產品部署簡單方便,升級維護不需要關系,且防御效果好,對服務器資源無消耗。

市面上可選的云WAF產品有百度云加速,阿里云,網站衛士等。

關于以上風險,網絡流量劫持、搜索返回劫持,都可以通過https解決,而且目前搜索已經對HTTPS給到很好的支持;網站被掛馬被黑,現在比較成熟的方式是用主機防護產品或者是第三方的web防護產品做你的服務器的網站安全管理。

對于站長來講,主要有兩種選擇方案,第一是自己做,自己做HTTPS的改造,自己做主機防護產品自己運維自己管理,以及一些針對性開發。自主選擇主機防護,缺點是產品多,要根據自己的技術和業務需求做一個選擇。而且很多產品不是一家的,要把它有機的結合在一起形成一個系統的防御,要花很長時間才能達到有效的效果,并且這些對服務器的資源消耗比較大,后面自己做升級維護之類的操作。

第二是比較省事的,使用云WAF防止網站被黑,以及使用云平臺進行網站HTTPS改造。

使用云waf解決問題,好處是產品的部署非常方便,所有的流量經過這個平臺,每次訪問云平臺會根據waf引擎對響應的內容做出甄別,對有問題的像那種滲透的還是主動的網上給你惡意可以給你防止掉,還有一個好處他對服務器沒什么消耗,因為是在云平臺上做的建設,對于以后的升級不用操心。

HTTPS改造流程

HTTPS服務保障

云化的HTTPS服務

云化https服務,優點是站長省時省力,像證書的申請更新吊銷等,以及組件和協議漏洞都是由專業的安全團隊來維護的,性能也是有云平臺優化的,節省站長處理的時間和精力。

云化HTTPS服務的解決方案,只要四個流程即可:

  1. 一鍵開啟;
  2. 子域名管理中點擊HTTPS加速,開通HTTPS功能;
  3. DNS服務商處修改域名指向到指定域名,進行簽發證書驗證;
  4. 證書簽發成功后,就可以為網站提供HTTPS服務。

網站安全方案實踐

總結以上2中方案,自己做的話,可以貼合網站的業務定制,會比較靈活,問題是對技術能力要求高,成本和復雜度也很高,如果網站業務比較特殊的可以選擇自己做;

而云平臺方案部署和運維都很簡單,技術要求也低,云平臺在不斷提高他防御能力的同時,相應站點防御標準也會跟著提高,另外技術服務支持效率也高。但云平臺基本上都是標準的服務產品,很少做特別定制,這是云平臺的缺點。

來源:本文由思享SEO博客原創撰寫,歡迎分享本文,轉載請保留出處和鏈接!
seo培訓評論廣告

搶沙發

昵稱*

郵箱*

網址

七乐彩选号技巧