关于近期开展企业网站安全普查活动,我相信很多的企业负责人都收到了所在地有关部门下发的关于企业网络安全责任告知书。原文如下:
“近期,无锡市连续发生多起黑客组织攻击网站并篡改网页内容案件,造成一定的现实危害和恶劣的社会影响。根据《中华人民共和国网络安全法》相关规定,企业作为本单位网络的所有者、管理者,应积极落实网络安全主体责任。为切实预防和减少企业网络安全事件发生,根据无锡市委网信办统一部署,现决定在全区企业开展网络安全专项排查工作。重点排查:1、是否存在系统漏洞;2中间件漏洞;3、软件服务框架漏洞等漏洞。企业一旦发现存在上述漏洞,要及时落实措施,立即整改。坚决防止发生网络安全案(事)件。请群内所有企业在今明两天开展排查并填写《工作回单》(附件1),填写完盖好章拍照或者PDF扫描件发到邮箱”
2021年6月22号无锡市互联网协会和软件行业协会的年度大会上,无锡市领导发言的时候特别点名了关于本市企业网站安全存在着很多的问题,并责令整改。因此造成的损失,要追究相关的法律责任。
很多的企业负责人,一直抱着侥幸心理,认为我们是小企业小公司,人家干嘛费劲来攻击我们的网站,可事实上,此次排查的查点对像就是这一类的网站,而且被攻击最多的也是他们的小公司的网站。
网站被攻击的主要因素如下:
1、追求低价做网站
认为做网站很便宜,只认价格,价低者得,负责任的建站公司所幸大不了就不合作,但是市场上肯定有愿意低价接活的人存在。这个时候不要以为是占了便宜。关于提到如果低价的网站被攻击了怎么办,他回到网站找谁做的,出了问题当然找谁了,仔细看企业才是网站的责任人。从一开始的选择错误就是承担责任的开始。
2、只看设计不看程序
要知道一个网站被攻击不是设计被攻击,而是程序上存在安全漏洞会导致被攻击。
3、网站服务器
其实网站每年续费也不需要多少钱,偏偏就有公司为了省个几百块钱的服务器的费用,认为小公司便宜一点的就够了,但是自家的大门防盗措施都做的很严格,殊不知服务器就是网站的家。网站是公司的在外形象。
在所有的被攻击的网站当中,一大半以上都是因为选择了开源的程序框架导致的。要么是因素图便宜,要么是找了一个黑心的建站公司。
很多的企业做网站的时候一味的追求炫酷,或者一味的追求功能,下载了很多的什么监测软件,聊天软件,这些都是第三方的插件,程序里有了这些,就相当于给网站开了一个后门,最终得不尝失。网站也需要在安全健康的情况下再去追求光鲜和亮丽。所以若非必要,不要随便在网站里装什么代码。
有些企业在做网站之前,花了大量的时间去比较去考虑,其实考虑多的可能就是网站如何设计的漂亮,哪家公司的报价便宜这些吧,我想应该没有人去花时间考虑网站应该用什么程序做。
很多公司开发的网站,程序代码乱七八糟,有的甚至是直接从网站扒得皮,还有一个种就是可视化建站,不要觉得可视化建站很高端,实际上之所以能可视化是因为程序里加载了大量的插件。还有些网站的URL路径很深或者全是动态参数。而且每层路径除了根目录和结尾目录,其它全是空层,这些都是不安全的。
大家可以自查一下,只要是网站后台的登录地址是在网址后面加一个类似/admin就能进入后台登录界面的,都是不安全的,后台管理是非常重要的,可以任意修改网站内容,这个后台登录的路径是可以随便就扫描出来的,而且账号密码无非就是字母和数字的组合,直接可以暴力破解的。建议采用手机短信或微信扫码登录。
平时也会碰到很多的客户,认为为了安全考虑,需要建站公司提供全部的源文件,包括前台、后台和数据库,其实这种是很不全安的,所有网站前台后源文件放一起的,全部能交付的,要么就买授权,这样成本会高,几百或几千块钱就能买到全部源码的,可以肯定就是开源的程序,或者说直接是网上免费下载的那种。为什么能免费下载如DEDECMS,大家可以想像得到。
同样很多的企业认为域名掌握在自己手里就是安全的,对建站公司不放心,这也可以理解,但是一定要选择好的域名服务商,同时也要定期查看一下域名的解析记录和DNS记录,不要认为域名解析好了就完事了,事实上,很多的攻击不是攻击网站的本身,而是域名的DNS遭到劫持。
18068300158
相关评论