防止感染恶意软件

要避免遭受恶意软件的侵害,需要时刻保持警惕。本文介绍有关防止感染恶意软件的提示和建议。但是,这些提示和建议并非面面俱到,因此 Google 建议网站站长进行更彻底全面的研究。

监控网站的运行状况

Search Console 中的许多功能可以帮助您发现潜在问题。例如:

  • 执行 Google site: 搜索可以查看 Google 找到了您网站上的哪些网页。建议定期执行此操作,以便了解是否有人暗中在您的网站上插入了非预期的网页或内容。如果您发现网站上有未知网页或并非自己创作的内容,则表明网站可能已遭到黑客入侵。如果您还不熟悉 site: 搜索运算符,解释下,这种方法可将搜索范围限制为搜索特定网站。例如,执行 site:googleblog.blogspot.com 搜索将只返回来自 Google 官方博客的结果。
  • “安全问题”报告会显示 Google 在您网站上发现的任何被黑网页,以及有关如何解决该问题的说明。
  • 如果 Google 在网站上检测到恶意软件,就会在 Search Console 首页通知您,还会向消息中心发送消息(要确保您能及时收到通知,请进行相应设置,让系统将消息中心的消息转发到您的电子邮件帐户中)。

安全核查清单

除了定期监控您的网站,我们还建议:

所有网站站长

  • 选用安全的密码。 Google 帐号指南非常有用。
  • 选择第三方内容提供商时要非常谨慎。 如果您正在考虑安装第三方提供的应用(例如小部件、计数器或广告网络),则一定要谨慎处理。广告空间往往会出售给网站所有者不知道的其他各方。虽然网络中有许多精彩的第三方内容,但提供商也有可能利用这些应用向您网站的访问者发布有害内容,例如危险的脚本。请确保应用的来源值得信任。应用提供商是否有合法的网站,并提供了支持和联系信息?是否有其他网站站长用过他们的服务?
  • 与您的托管公司或发布平台联系以获取支持。 大多公司都有反应迅速的支持团队和/或安全网页可提供帮助。如果安全网页或网站提供 RSS Feed,请订阅这些 Feed,以确保您了解最新情况。
  • 确保所有计算机安全无虞。尤其是在运维网站时,请确保您本地的工作站安装了最新版本的软件,没有受到病毒、特洛伊木马或类似恶意软件的感染,并且安装了更新到最新版本的防病毒软件。

有权访问服务器的网站站长

  • 检查服务器的配置。 Apache 在其网站上提供了一些安全配置提示,Microsoft 也在其网站上提供了一些适用于 IIS 的技术中心资源。这些提示中包含有关目录权限、服务器端包含内容、身份验证和加密的信息。
  • 备份您的 .htaccess 文件(或根据您所用的网站平台实施其他访问控制机制)。日后出现故障时使用备份文件进行恢复。完成后一定要删除备份文件。
  • 及时更新软件,及时应用补丁程序。 许多工具都让网站的构建工作变得简单易行,但每一种工具都有留下攻击漏洞的风险。在网站中安装论坛或博客后就置之不理是很多网站站长都容易犯下的错误。就像保养调试您的爱车一样,您也务必要将所有已安装的软件程序更新为最新版本。列出您网站中使用的所有软件和插件,跟踪其版本号和更新。即使您不断更新,确保所有网站组件都使用最新版本,但如果您的网络托管服务商未安装最新的操作系统补丁程序,您可能还是会面临漏洞的威胁。这不止是小型网站会遇到的问题,我们对银行、球队及公司和政府网站也发出过相关警告。
  • 监控日志文件。 养成这种习惯大有裨益,其中一个好处是可以提高安全性。例如,出现陌生的网址参数(如“=http:”或“=//”)或网站上重定向网址的访问量突增,都可能表明黑客正在利用开放重定向。此外还请注意,黑客往往会尝试更改日志文件。请采取措施防止这些文件受到攻击。例如,您可以将这些文件从其默认位置移走,让黑客更难找到这些文件。
  • 检查网站中是否存在常见漏洞。 杜绝采用开放权限的目录,否则就像“开门揖盗”一样。

    此外,还要检查是否存在 XSS(跨站脚本)和 SQL 注入漏洞。

  • 使用安全协议。 Google 建议使用 SSH 和 SFTP,而不要使用 telnet 或 FTP 等明文协议传输数据。SSH 和 SFTP 都采用了加密技术,安全性要高得多。要了解这方面的内容以及许多其他有用的提示,请查看 StopBadware.org 提供的网站清理和保护提示
  • 了解最新的安全资讯。 Google 在线安全博客提供了有关在线保障和安全的实用信息,以及指向其他资源的链接。美国政府网站 US-CERT(美国计算机应急响应小组)提供了技术安全提醒和提示。
该内容对您有帮助吗?
您有什么改进建议?