如何保护您的共享托管账户？

在所有可用的网页托管类型中，共享托管是最常见且最容易受到安全问题影响的。

学习如何保护您的网站。

面对事实吧：当涉及到网络安全的话题时，大多数人都更愿意逃避现实。”我太小了，不会被黑客攻击。””我知道我没有那么倒霉。””等我有更多时间再说吧”——我们可以编造出无数借口来逃避加固网站安全的繁琐劳动。

是的，仅仅是想到创建备份就足以让我们昏昏欲睡。

那么，什么能够激励我们更加认真地对待安全问题呢？

也许将世界上最致命的黑客攻击细节放在墙上？但接下来，我们会认为自己太小而不会被黑客攻击。我认为有一种反向的激励方法可能是有效的——在某个地方运行一个计数器，显示您在这个企业或网站上投入的总小时数。假设过去五年（假定您平均每天投入15个小时），那将是15 x 30 x 12 x 5 = 27,000小时的努力，如果您的网站被黑客攻击并销毁了所有数据，那将一瞬间付诸东流！

虽然本文不是关于习惯和动力的，但我认为应该进行一个简短的讨论。如果这都不能吓唬你和激励你，那我不知道还有什么能够了。:)

无论如何，对于那些已经足够害怕的人，或者对于他们的安全性有所关注的人，让我们继续讨论如何提高共享托管账户的安全性。

请注意：这里讨论的是链接_0账户，而不是虚拟或物理服务器（或者它们的集合）。独立的服务器是完全不同的问题，而我在本文中针对的是那些不太懂技术的大多数人，他们的收入依赖于数字资产。

创建（确保）定期备份

很难相信备份与安全有关，但它们确实有关。

经常情况下，黑客攻击非常严重以至于会擦除您的数据；有时，恶意代码会深埋在基础中并不断重现（我甚至无法解释这种情况在我客户的链接_1上发生了多少次！），尽管进行了最好的专业清理。

在这种情况下，除了点击还原按钮之外，别无选择：返回到曾经对您有效的备份，清空一切，重新设置一切，并导入数据。您会失去什么？备份之后收集的数据。您会得到什么？整个企业！

话虽如此，关于备份还有一些事情需要记住。

还原

如果没有快速且可预测的还原措施，备份就没有任何意义。您的共享托管提供商可能有还原选项，但您确定它有效吗？

如果没有还原按钮，您知道如何重新设置一切吗？

随着时间的推移，您可能会收集大量数据，恢复这些数据可能会很麻烦。还有其他要考虑的事情：数据库版本、软件版本、PHP版本（如果您运行的是PHP网站），以及这些版本之间的兼容性等。很可能您没有这些技能或精力来处理所有这些问题。

如果您没有这些技能，我强烈建议您选择一个管理服务，他们会为您处理一切，即使费用可能很高。另一方面，如果您确信自己可以胜任，我必须要求您定期排练（比如每六个月一次）——相信我，无论一个人多么专业，总会有令人绊倒的事情。

如果您正在寻找一个可靠的共享托管服务来构建WordPress、Joomla、Magento网站，他们每天备份数据，请尝试一下链接_2。

备份频率

你需要多久备份一次？ 在这里有两个要考虑的因素：您收集的数据的大小和业务的重要性。

假设您总共有40GB的数据需要运行业务。如果您安排每天备份，那么您在第一个月将使用40 x 30 = 1200GB或1.2TB的数据。

到第一个季度结束时，它将增长到3.6TB – 无论您选择将这么多数据存储在哪里，都必然会花费大量资金。

解决方案是什么？

丢弃比特定持续时间更早的数据。现在这个持续时间完全取决于您的业务，尽管在大多数情况下，每周两次的备份在过去一个月或两个月内是足够的。

即使如此，备份的费用也不容忽视，您需要确保备份的是有用的数据，并且以可重用的形式进行备份。否则，嗯，您知道风险……：）

采用双因素认证

对于不了解此概念的人来说，双因素认证意味着在登录用户并交出控制权之前使用两个步骤来验证用户（更多细节请参见here）。

为什么？

只是因为如果有人猜测或盗取了您的密码，并试图从他们的计算机登录，他们将被要求证明自己的身份。

系统可能会要求他们回答一个秘密问题，输入通过短信或电子邮件发送的一次性密码，要求他们选择一个喜欢的图像或使用其他方法强制进行身份验证。说实话，考虑到一些人选择密码的差劲（不，s1mpled00d不是一个强密码），以及基于浏览器的黑客轻松检索密码的方式，最好采取双因素认证。

对于WordPress网站，有几个插件可供选择，使任务变得非常简单和快速。

避免不受信任的来源

这是另一个应该像天空颜色一样明显的观点（它是明显的，不是吗？？），但是就像在人类世界中一样，情绪迅速占据了上风。

您想快速推出一个功能，并且找到了一个提供您所需功能的来源 – 也许甚至是免费的。演示非常令人惊叹，用户体验令人惊叹 – 您还需要什么？！

不要那么快，小家伙！第三方来源可能会带来一些很恶心的问题（而且往往如此） – 它们可能包含窃取您保存的密码或信用卡信息的恶意代码（在移动应用上，恶意破坏代码的作用真是可怕！），或者它们可能编码不良，从而在嵌入后成为您网站安全性的一个薄弱环节。

如果您的开发人员说他们已经查看了代码并批准了它，请不要相信他们 – 安全世界极其扭曲，每天都会揭示出令人难以置信的狡猾攻击（这是一个有关如何操纵PHP中的serialize()和unserialize()函数以允许远程代码执行的链接）。）。

始终始终从可信来源获取插件、主题、库等。对于WordPress用户而言，这意味着坚持使用官方提供的插件（因为它们都是经过严格检查代码质量和安全性的），其他平台也是一样。

再次强调，在您感到无法抗拒地抓住该插件并赶走之前，请考虑一下您正在冒险的总工时。

更强的密码

我们提出的“强”密码存在的问题是它们并不安全。

只要稍微了解您的个人生活并借助Dictionary Attack，破解密码的机会就非常高。

解决方案是什么？

我建议使用一个免费可靠的服务，比如 LastPass 的 password generator ，它允许您选择密码的复杂程度和长度。请不要对该工具手下留情-让它发挥最大的能力。

忘记那些可以记住的密码吧-是的，那些日子早已过去了。可以记住的密码很容易破解。相反，试用一下密码生成器，找一个让您胃里翻腾的密码。

这是我收到的一些建议（密码长度设置为20个字符）：

• rfg$t^cvwBg@Z0lj0Oxu
• 1sNYhBXrYJ2IW^J$f@Sq
• Plg6#YicW%bh&UzVpp#Z
• f95^*sMm592OwQcg&QZi

丑陋？非常。安全？非常！

最后，如果您有一个允许他人创建账户的网站，请确保您执行密码验证，并拒绝接受任何看起来不恶心的密码。是的，新的贡献者的意图是好的，但正如人们所说，通往地狱的道路是由善意铺成的。??

定期更新软件

如果您的共享托管账户提供了一个管理面板，允许您升级安装的软件，我强烈建议您这样做。

为什么？不是因为这样感觉高级，而是因为新的软件发布主要是为了修补前一版本中发现的安全漏洞（啊哈！现在你知道为什么你的Windows迫切希望你保持更新了吧）。

请不要轻视这一点（或者实际上是本文中的任何建议:D）。无法估计有多少安装、应用程序、服务器和设备正在等待引爆，因为它们正在运行旧软件。

如果您对此感到厌烦，我和您一样-没有什么比不断检查、测试、更新和丢弃不起作用的东西更痛苦的了。但这是我们在数字基础设施上支付的“税款”-我们的数字财产比我们习惯的其他东西更敏感、更强大，因此它们需要特别的关注。

再次强调，如果您有能力，选择托管提供商。

选择一个更安全的托管提供商

并非所有的托管提供商都是同质的，在这个充斥着激进广告和联盟营销的世界中，很难分辨出好的和坏的。

那么，如何决定哪家托管提供商更好呢？

我希望我有一个神奇的标准，但我没有。

托管基础设施是复杂的生物，评级、评论、网站设计或客户友好性都无法提供良好的指标。但是我可以说：如果您遇到问题，请不要害羞尝试新的东西。如果有什么的话，我建议您远离销售域名和托管的非常老旧、非常大的公司（您知道我指的是谁，对吧？！ ;-）），而是给一些年轻、更有活力的公司一个机会。

我无法过度推销。

转向一个更安全的、better-performing service provider 可以每个月节省数小时头疼和彻夜难眠。

我有几个朋友经营内容驱动的WordPress网站，他们的网站问题在他们采取大胆（而痛苦）的步骤来切换之后消失了，多年来没有出现任何问题。他们说像网站速度慢、宕机之类的小问题不值得他们花时间，我认为他们是对的。 ：）

使用DDoS保护

网络的特点是它是“世界范围”的。任何人都可以访问您的网站，或试图入侵。

甚至是机器人。

现在，如果在您的网站每小时的几千次访问中，99%是试图入侵的机器人，那么您就有了一个问题-这些无用的请求不仅会占用系统资源，还会消耗您的带宽配额。

我知道共享托管网站声称拥有“无限”带宽，但相信我，没有什么是无限的。

即使我们假设他们每个月提供无限数据传输，也别忘了连接每个东西的物理网络是有限的。换句话说，您的网站可以同时为一定数量的用户提供服务，因此即使您可能有无限的每月使用量，您的网站对用户来说始终会非常慢或无法访问。

谁想访问这样的网站呢，对吧？

往往，这种攻击是由攻击者通过控制多台计算机并让它们访问目标网站（你都不知道，你的计算机可能已经成为这样攻击的不情愿参与者）。

我刚刚描述的情景在技术上被称为分布式拒绝服务（DDoS）攻击（更多细节请参阅 here），它仍然是最令人沮丧的攻击形式之一，因为它与大量用户对您的网站发出请求几乎无法区分。

话虽如此，像Cloudflare这样的公司已经建立了出色的防御系统，可以智能地分析并根据过去的流量模式进行阻止。SUCURI

同样，对于许多人来说，这可能是昂贵的，但然后您必须自己决定是否冒着失去所有业务的风险。

云防火墙

对于那些不知道的人，防火墙只是一种在计算机和网络上运行的软件，根据特定规则来阻止或允许流量。现在很明显云防火墙是什么了，但下面这张图片绝对值得一千个字。：）

如果你问我，一个配置正确的防火墙对于保护你的数字资产比其他所有措施加起来都更有效。如果科技巨头的网络是不可渗透的，这得归功于它们强大的防火墙，能够积极地过滤所有进出的流量。如果攻击者试图探测漏洞，结果就是立即被列入黑名单，使得进入或关闭网络变得非常非常困难。

这是我们的 recommendation 最佳防火墙列表。再次提醒，如果您认为它太昂贵，记住对策！

有很多其他事情可以做来使事情“更安全”，但是我认为如果您认真对待本文，您将能够避免99.9％的潜在尴尬的攻击和入侵。

对于WordPress用户来说尤其如此，因为它的设计并不是非常安全。即使您有一个纯HTML网站，也要记住DDoS攻击可能会破坏您的用户、您的托管提供商和您的体验。

换句话说，只有偏执狂才能幸存下来（此外，还有一本很好的同名书籍，如果你有兴趣的话）！：）

预览	产品	评分	价格
	Only the Paranoid Survive: How to Exploit the Crisis Points That Challenge Every Company		$12.99	Buy on Amazon