胡大鑫中小企业网站建设及网站安全管理防护指导意见

核心提示胡大鑫昨天跟一个传统行业的老板沟通了解到他们公司的网站数据库因为被黑客攻击而被索要保护费而无奈关站的事情。从简单的沟通中胡大鑫大概把了解到的事情来龙去脉给大家做个简单整理,如下:1、客户是传统行业,后了解到互联网,想通过互联网进行企业转型,

胡大鑫昨天和一个传统行业的老板沟通,得知自己公司的网站数据库因为被黑而无奈关闭,并索要保护费。从简单的交流中,胡大鑫大概梳理了一下所了解到的来龙去脉,如下:

1.客户是传统行业。了解互联网后,他想通过互联网改造企业,或者开辟新的销售渠道。于是我找了一家网络外包开发公司,开发了一个网站,花了10 W多,网站的功能包括会员注册、用户中心、购物车、在线支付和常见的网站宣传展示功能。

2.后来网站在正常运营过程中被黑客攻击,网站数据库被篡改,无法正常运营。同时收到黑客勒索,要求一定数额的金钱和比特币支付。

3.因为客户不理解,并且认为这种事情不能一劳永逸,人性是贪婪的。如果他们这次选择妥协,还有下一次。只有从根本上解决网站后门漏洞,才能拒绝此类事情的再次发生。

4.目前客户想找专业的网络安全公司检查网站安全。但是因为是传统行业,所以很少接触网络。现在,他在找非常专业的网络安全公司,但是一时半会儿找不到。但是,原有的网站外包开发公司无法提供针对性的解决方案。它只能在被攻击前做备份,覆盖数据,只能治标不治本。

5.因为网站无法正常上线,网站的公告无法启动,销售无法有序推进。

而胡大鑫从事网站建设和SEO优化多年,接触过各种类型的网站。在SEO优化期间,他也有过黑大小网站的经历,所以给出了一些看法:

1.采用市场上成熟的CMS系统重新建站。

CMS系统建设的优势:

1.1功能齐全,维护方便。

市场上有很多知名的CMS系统可以提供不同需求的行业网站解决方案,比如:ECSHOP商城系统可以提供专业化的B2C、B2B等网上商城系统解决方案;WordPress,DeDeCMS,帝国CMS,Zblog等。都能满足大部分企业网站的功能需求;比如一些特定行业的CMS,比如骑士CMS,专门做人才招聘网站,易居CMS,专门做房地产网站管理系统。市场上有很多类似这样的专业CMS网站管理系统解决方案,也有专业的技术团队一直在做升级维护。而且很多个人开发爱好者进行了二次开发,主题模板开发,插件开发等。由于是开源的,它们具有良好的二次可扩展性,维护起来也很高效。一旦出了问题,即使不太懂的人也能发现。

1.2经济实惠,运营成本低

得益于市场的竞争发展,大部分CMS系统的定位是质优价廉,依靠用户数量和规模占领市场,因此方便了很多中小企业以较低的成本快速上网。完善的网站解决方案,优质的产品和服务,更高效的运营效率,可靠的售后保障,胡大鑫实在找不到任何不选择CMS建站的理由。

外包的缺点:

1.1市场鱼龙混杂,人员流动性大,项目代码维护困难。

但是,如果选择外包公司开发,就不一样了。外包公司一般都是自己的技术团队,承担各种网络系统的开发,小到一个HTML5网页,大到各种管理系统。但是,注意但是。外包团队成员的开发质量良莠不齐,因为得益于互联网时代的发展,越来越多的人选择从事程序员行业,各种编程开发培训机构层出不穷,市场鱼龙混杂,不可避免的出现了一些现象:人员流动性大,代码维护困难。

原团队开发的系统后期很难维护,而且由于开发人员本身的水平,虽然项目可以正常上线,但是系统的设计逻辑还是存在很大的bug,这就给了黑客可乘之机。但是,外包公司真的没有太多处理这方面的经验。毕竟术业有专攻。

1.2开发成本高,运营成本高。

因为外包公司需要养团队,以及公司的各种运营费用,项目的外包成本也会增加。而这些成本最终都是要客户来支付的。以网站建设为例。同样功能的商城网站可能要几千块钱,外包公司可能要收几万甚至几十万。毕竟人是一行一行敲出来的代码,开发周期长,团队成员要付出。

但是谁说CMS系统的代码不是一行一行打出来的?只是因为更多的用户买单,所以成本可以降低。包括后期的运营,一旦项目出了问题,假设外包公司原来的项目开发人员换了,走了,很难再找新人做沟通和代码维护,运营成本太高。

第二,找专业的网络安全公司对网站进行全方位的测试和处理。

毕竟客户在现有的网站项目上花了十几万,弃之不顾有点尴尬。可以找专业的第三方网络安全公司,对现有存在漏洞的网站进行一次全方位的安全检测和处理,让网站正常上线。但是经过处理的网站不用担心被黑客攻击,也不用索要保护费。他们也能顺利进行网站推广运营,有序推进网络宣传发行工作。

但是很难找到。据我所知,有专业人士做网络安全防护,但大多是针对服务器端的安全防护,比如DDOS攻击防护。像这样的数据库漏洞还是很少的。而且说到数据库,一般来说,从整个网站的功能需求重新设计,了解整个项目的功能需求,按照数据库设计的思路找bug调试代码等等,都是非常复杂的。,所以只能先试试了。

而且还要和这种安全维护公司签协议,假设处理过的项目上线后再次被攻击?光是想想就是一个大创意。在这里,胡大鑫只能感慨:传统行业的企业想通过互联网上纲上线太难了!

好了,以上是小插曲,正好胡大鑫给大家讲讲如何做好中小企业网站的网站安全维护的好机会:

一、定期修改网站后台管理员的登录密码。

管理员的账号和密码关系到网站的数据安全,只能经常更换,以保证网站更安全的运行。因为一旦拿到管理员账号的密码,整个站都暴露了。黑客可以操作网站所有可以在后台管理的功能,比如添加、删除、修改、篡改页面、跳转链接等等。

第二,定期备份网站数据和数据库数据。

建议使用Pagoda Panel直接进行常规数据备份操作,如下图所示。这样无论是误操作还是内部人员的攻击,网站之前的数据都可以得到有效的保存、覆盖,完美的恢复到之前的正常状态。强烈建议定期备份。

第三,设置网站后台操作权限。

企业可以为不同的岗位分配不同的网站后台操作权限。比如你发布文章,你只会给他分配发布和管理文章的权限;如果你做一个产品,把产品的管理权分配给他等等。,以防止管理账号后台密码泄露,暴露全站后台操作权限。

第四,安装和部署SSL证书,并升级到HTTPS协议网站

传统http网站容易受到网络攻击,尤其是流量劫持,会迫使用户访问其他网站,从而造成网站流量的损失。具有可信SSL证书的HTTPS站点可以有效地避免流量劫持。这也是近年来各大搜索引擎和浏览器强烈建议所有HTTP站点升级HTTPS的原因。

5.尽量避免在存在安全隐患的设备和网络环境下运行网站。

主要指公共电脑,如网吧电脑等。在这种电脑上不登录后台是非常危险的。比如之前有电脑下载了乱七八糟的软件,导致系统中毒过多。一些木马软件被植入,也可能存在系统漏洞。您可以在使用前杀死病毒。使用未知的WIFI网络环境登录可能会有一些风险。

总结:

以上是胡大鑫对中小企业网络建设和网站安全防护的指导,希望对缺乏专业IT运维管理的中小企业有所帮助。说实话,中小企业,尤其是传统行业,没有专业的指导真的很难。走了所有的弯路,花了未知的钱,耽误了市场推广,极大的影响了企业的转型发展。我想借助互联网走得更远,却摔了一个大跟头。祝大家越办越好,让这些基本的互联网运营知识得到普及,帮助中小企业真正有效的通过互联网取得好的效果!

原创文章,作者:胡大鑫,本文已加入《保卫骑士》版权保护计划。文章已授权捍卫骑士代为维权,未经授权严禁转载。如需转载,请联系作者授权,并保留原作者信息,注明原文出处。谢谢你的合作。原文:胡大新笔记

 
友情链接
鄂ICP备19019357号-22