胡大鑫昨天跟一個傳統行業的老闆溝通了解到他們公司的網站資料庫因為被黑客攻擊而被索要保護費而無奈關站的事情。從簡單的溝通中胡大鑫大概把了解到的事情來龍去脈給大家做個簡單整理,如下:
1、客戶是傳統行業,後接觸到網際網路,想通過網際網路進行企業轉型,亦或者是開辟一個新的銷售管道。是以找了一家網絡外包開發公司,開發了一個網站,花費10幾個W。網站功能涉及會員注冊、使用者中心、購物車、線上支付以及常見的網站宣傳展示功能。
2、後來網站在正常的營運過程中被黑客攻擊,網站資料庫被篡改無法正常運作,同時收到黑客的勒索要求支付一定金額,并且要求比特币支付。
3、客戶因為不懂,而且想到這種事情不可能一勞永逸,人性是貪婪的,如果這次選擇了妥協,那麼還是會有下次。隻有從根本上解決網站的後門漏洞,才能拒絕此類事情的再次發生。
4、目前客戶想找一家專業的網絡安全公司來做網站安全排查工作,但是由于是傳統行業,接觸網絡本來就少,現在又是要找那種極為專業的網絡安全公司,一時間也沒找到。而原網站外包開發公司也無法提供針對性的解決方案,隻能是被攻擊之前做備份,進行資料覆寫而已,治标不治本。
5、因為網站無法正常上線營運,是以網站宣發工作也遲遲無法開始,銷售工作無法有序推進。
而胡大鑫又從事網站建設和SEO優化多年,接觸過各種類型的網站,在SEO優化期間也有過大大小小網站被黑的經曆,是以給出了一些自己的意見:
一、采用市面成熟的行業CMS系統重建立站
CMS系統建站優勢:
1.1 功能齊全,維護友善
市面上有很多較為出名的CMS系統可以提供不同需求的行業網站解決方案,如:ECSHOP商城系統可以提供專門的B2C、B2B等線上商城系統解決方案;WordPress、DeDeCMS、帝國CMS、Zblog等都可以滿足絕大部分企業網站的功能需求;像一些特定行業CMS如騎士CMS專門做人才招聘網站、易居CMS專門做房産網站管理系統,類似這種的在市面有很多專業的CMS網站管理系統解決方案,且一直都有專業的技術團隊在做更新維護,而且有衆多個人開發愛好者對此進行二次開發、主題模闆開發、插件開發等,因為開源,是以有着良好的二次擴充性,維護起來也高效,一旦出了問題即使是不太懂的人也可以找到很多解決方案。
1.2 價格實惠,營運成本低
同樣得益于市場的競争發展,大多CMS系統的定位就是物美價廉,依靠着使用者數量規模占領市場,也是以友善了衆多中小企業可以以更低的成本快速接入網際網路。完善的網站解決方案、優質的産品服務、以及更為高效的營運效率、加上靠譜的售後保障,胡大鑫實在找不出理由不選擇CMS建站的理由。
外包開發弊端:
1.1 市場良莠不齊,人員流動性高,項目代碼維護難。
而選擇外包公司開發的話就不一樣了,外包公司一般都是自己的技術團隊,承接各種網絡系統的開發,小到一個HTML5網頁,大到各種管理系統,都可以做。但是,注意但是。外包公司的團隊人員開發素質良莠不齊,因為得益于網際網路時代的發展,越來越多的人選擇從事程式員行業,各類程式設計開發教育訓練機構層出不窮,市場良莠不齊,難免造成一些現象:人員流動性高,代碼維護難。
原有團隊開發的系統後來人員維護困難,以及因為開發人員的本身水準造成項目雖然可以正常上線,但是系統的設計邏輯仍存在很大Bug,給了黑客可乘之機。而對此外包公司确實也沒有太多的處理經驗,畢竟術業有專攻。
1.2 開發成本高,營運成本高
由于外包公司都需要養團隊,加上公司的各項營運開支,是以項目的外包費用也會随之增加。而這些成本最終都是要客戶買單。拿網站建設舉例,同樣功能的商城網站也許幾千塊錢就能搞定,外包公司也許要收幾萬甚至十幾萬。因為畢竟人家是手敲代碼一行一行敲出來的啊,開發周期也長,團隊人員要發工資啊。
但是誰說CMS系統的代碼不是一行一行敲出來的呢,隻不過因為有更多的使用者買單,是以成本可以降下來。包括後期營運也是,一旦項目出了問題,假設外包公司的原項目開發人員出現變動離職了,找新人對接很難去做好溝通以及代碼維護,營運成本太高。
二、找專業網絡安全公司對網站進行全方位的檢測處理
畢竟客戶在現有網站項目上已經花了十幾萬了,就這麼棄用了确實有點尴尬。可以找家專業的第三方網絡安全公司,專門針對現有存在漏洞的網站進行一個全方位的安全檢測處理,這樣就可以網站正常上線了。而經過處理的網站也不用再擔心被黑客攻擊而索要保護費了,也可以順利開展網站營運,有序推進網絡宣發工作。
但是不好找啊,據我所知是有專業做網絡安全防護的,但是大多都是針對伺服器端的安全防護,比如DDOS攻擊防護,像這種資料庫漏洞維護的還是比較少。而且涉及到資料庫,一般來講要從整個網站的功能需求上去重新設計,了解整個項目的功能需求,有針對性的根據資料庫設計的思路去找Bug進而調試代碼等等,尤為複雜,隻能先找試試了。
而且還要跟這種安全維護公司簽好協定,假設經過處理的項目上線之後如果又被攻擊了怎麼辦?光是想一想就是頭大,在這裡胡大鑫隻能感慨:傳統行業的企業想要通過網際網路上雲實在是太難了!
好了,以上是個小插曲,借此機會正好胡大鑫也來給大家講講中小企業網站如何做好網站安全維護工作:
一、定期修改網站背景管理者登入密碼
管理者的賬号和密碼是關乎網站資料安全的,不定時更改,才能保證網站營運更為安全。因為一旦拿到管理者賬号密碼,整個站就都暴露了,黑客可以通過背景操作網站所有可以通過背景管理的一切功能,比如:網站内容的增加、删除、修改,頁面篡改、連結跳轉等等。
二、定期備份網站資料和資料庫資料
推薦使用寶塔面闆,可以直接進行定期資料備份操作,如下圖所示。這樣不管是企業内部人員誤操作也好,還是被攻擊也好,都可以有效的儲存網站之前的資料,進行覆寫處理,完美恢複到之前正常的狀态,強烈建議一定要做好定期備份工作。
三、設定網站背景操作權限
企業可以針對不同的人員崗位配置設定不同的網站背景操作權限。比如做文章釋出的,就隻給他配置設定文章釋出管理的權限;做産品的,就給他配置設定産品管理的權限等等,防止管理賬号背景密碼外洩而暴露整站的背景操作權限。
四、安裝部署SSL證書,更新為HTTPS協定站點
傳統的http網站非常容易遭受網絡攻擊,尤其是流量劫持,會強制使用者通路其他網站,進而造成網站流量損失。而安裝受信任的SSL證書的HTTPS站點就能有效避免流量劫持。這點也是各大主流搜尋引擎和浏覽器近幾年強烈建議所有HTTP站點進行HTTPS更新改造的原因。
五、盡量避免在存在安全隐患的裝置和網絡環境中操作網站
這裡主要指的是公共電腦,譬如網吧電腦等,不要在這類型電腦上登入背景,非常危險。還有比如之前下載下傳過亂七八糟的軟體而導緻系統中過毒的電腦,被植入某些木馬軟體,也可能存在系統漏洞。使用之前可以先殺毒。使用不明來路的WIFI網絡環境連接配接登入,也可能會存在一定的風險。
總結:
以上就是胡大鑫針對中小企業網站建設以及對網站安全防護工作的指導意見,希望能夠幫助到缺乏專業IT營運管理的中小企業吧。說句實在話,确實中小企業尤其是傳統行業,沒有專業的人員指導真的太難了。走的全是彎路,花了不知多少冤枉錢,還耽誤了市場推進工作,大大影響企業的轉型發展。本來是想借助網際網路更進一步,結果摔了個大跤。祝願都能越來越好吧,讓這些網際網路基礎營運知識能夠普及開來,助力中小企業真正的有效通過網際網路獲得佳績!
原創文章,作者:胡大鑫,本文已加入「維權騎士」版權保護計劃,文章已授權維權騎士代為維權,未經授權允許嚴禁轉載。如需轉載請先聯系作者擷取轉載授權,并保留原作者資訊,注明原文出處,謝謝合作。原文出處:胡大鑫筆記
原文标題:胡大鑫:中小企業網站建設及網站安全管理防護指導意見
原文連結:https://www.hudaxin.com/yunying/5.html