云主机的使用和普及,给企业和站长们带来了极大的便利和强大的灵活性,让建站效率得到显著的提升。但同时,其安全问题也日趋严重,云主机保护工作逐渐成为站长工作中的重中之重。
与其后期繁琐的进行保护工作,不如在购买云主机时多个心眼。云主机购买9大安全事项,不容忽视:
1、新开通账户安全保护。
密码泄露一直是安全问题发生的首要原因,在这里建议,对新开通主机服务器设置账户的密码和目录权限等,管理员密码不能过于简单,建议字母、数字、特殊符号混合组合,如abc123~~等。同时,请勿直接使用姓名、昵称、生日、手机、QQ、邮箱等作为密码,密码位数最好在8至11位以上,复杂无规律的密码会使暴力破解难度加大。
密码备份文档最好需要加密和安全存放,甚至可以尝试将敏感信息放在一张图片中,前提是自己能记住,定期更换密码。
2、注重账号授权和管理。
云主机租用账号的管理上,原则上要明确账号的用途和权限设置的合理性,特别要注意临时账号的删除和权限设置过大的问题,有时为了方便而设置的超大权限可能是后期风险的源头。
多人维护主机服务器,最好有一定的操作记录,如果没有,需要定期查看主机服务器登录管理等操作日志信息。
3、网站避免弱口令
网站入口被猜解密码再通过合理请求的途经上传木马的案例时有发生, 管理员密码、数据库密码、FTP密码、网站后台密码等等全部都是复杂且完全不同的。
4、及时打补丁
确认账户安全后,就立即打补丁,windows系统自带的的update很慢,在打补丁的时候可能会短时间影响带宽或者CPU爆满的情况,一般可以放在晚上或设置计划任务在凌晨,既可以避免对网站业务影响,又能减少人工操作,也可以适当用第三方软件辅助打补丁。为了节省主机服务器资源开销,一般打补丁后就关闭自动更新,然后定期检查主机服务器安全,检测是否有补丁或更新。
5、确保云主机软件安全
安装软件要注意规避风险,注意软件下载来源,在陌生的url链路上下载软件要注意安全风险防范,如果来路有疑虑,最好使用安全杀毒工具监测后再在主机服务器安装,维护的好的主机服务器,和使用的PC有一些区别,原则上能少则少,尽量使用系统本身的,如需使用类似于网站管理助手、wamp、phpnow(servkit)等一键安装环境工具,最好到官方或可信网站下载配置安装。
6、使用稳定程序版本
很多朋友喜欢用最新的版本如数据库、主机服务器版本等,其实最新的版本或者测试版还有待完善成熟,一般选择经过大量检测的稳定版本,需要注意和系统一样需要关注及时修复补丁或漏洞。
7、定期检测主机服务器安全
一般常用的有360主机服务器安全卫士、安全狗主机服务器版本,但有弹性云用户反馈某些主机服务器环境下可能现特殊异常,推荐使用微软的MSE和赛门特克的主机服务器安全工具配合arp防范、流量监测工具,可以使用在线检测等功能对云架构上的虚拟主机和云主机进行辅助安全监测。更改常用的端口号如常用的windows的远程桌面登录3389可以改成其他不冲突的端口号;关闭不常用或不需要的端口。
8、 定期对云主机数据进行备份
定期数据备份,特别是在修改了程序或数据大型更新后需要在增量备份基础上做全数据备份,定期备份主机服务器上的重要数据,以免在意外情况下丢失数据而找不回来,可以快速还原正常网站。
9、安全存放备份
备份文件一般不要存放在主机服务器上,更不要存放在公开发布的网站目录下,云主机一般通过建站助手会设置通用型wwwroot等目录文件夹,如果备份时直接存放在该目录下,则有可能被人嗅探到备份文档进行下载,因此在备份后需要及时移到非访客直接可以得到的路径,同时需要一定的加密或本地保存,尽管云虚拟主机已经将默认的备份文件名称设置为随机名称,但是权宜之计还是在备份完成后合理存放处理备份文件。
大数据时代,信息安全对企业来说尤为重要,稍有不慎,信息泄露或丢失,都会对企业造成极大的影响及损失。保证云主机安全,对企业/网站后期的营销推广也极有帮助,在这提醒各位站长切莫忽视,小心提防。