胡大鑫:中小企业网站建设及网站安全管理防护指导意见

胡大鑫昨天跟一个传统行业的老板沟通了解到他们公司的网站数据库因为被黑客攻击而被索要保护费而无奈关站的事情。从简单的沟通中胡大鑫大概把了解到的事情来龙去脉给大家做个简单整理,如下:

传统中小企业网站建设及网站安全管理防护指导意见

1、客户是传统行业,后了解到互联网营销,想通过互联网进行企业转型,亦或者是开辟一个新的销售渠道。因此找了一家网络外包开发公司,开发了一个网站,花费10几个W。网站功能涉及会员注册、用户中心、购物车、在线支付以及常见的网站宣传展示功能。

2、后来网站在正常的运营过程中被黑客攻击,网站数据库被篡改无法正常运行,同时收到黑客的勒索要求支付一定金额,并且要求比特币支付。

3、客户因为不懂,而且想到这种事情不可能一劳永逸,人性是贪婪的,如果这次选择了妥协,那么还是会有下次。只有从根本上解决网站的后门漏洞,才能拒绝此类事情的再次发生。

4、目前客户想找一家专业的网络安全公司来做网站安全排查工作,但是由于是传统行业,接触网络本来就少,现在又是要找那种极为专业的网络安全公司,一时间也没找到。而原网站外包开发公司也无法提供针对性的解决方案,只能是被攻击之前做备份,进行数据覆盖而已,治标不治本。

5、因为网站无法正常上线运营,因此网站推广营销工作也迟迟无法开始,销售工作无法有序推进。

而胡大鑫又从事网站建设和SEO优化多年,接触过各种类型的网站,在SEO优化期间也有过大大小小网站被黑的经历,因此给出了一些自己的意见:

一、采用市面成熟的行业CMS系统重新建站

CMS系统建站优势:

1.1 功能齐全,维护方便

市面上有很多较为出名的CMS系统可以提供不同需求的行业网站解决方案,如:ECSHOP商城系统可以提供专门的B2C、B2B等在线商城系统解决方案;WordPress、DeDeCMS、帝国CMS、Zblog等都可以满足绝大部分企业网站的功能需求;像一些特定行业CMS如骑士CMS专门做人才招聘网站、易居CMS专门做房产网站管理系统,类似这种的在市面有很多专业的CMS网站管理系统解决方案,且一直都有专业的技术团队在做升级维护,而且有众多个人开发爱好者对此进行二次开发、主题模板开发、插件开发等,因为开源,所以有着良好的二次扩展性,维护起来也高效,一旦出了问题即使是不太懂的人也可以找到很多解决方案。

1.2 价格实惠,运营成本低

同样得益于市场的竞争发展,大多CMS系统的定位就是物美价廉,依靠着用户数量规模占领市场,也因此方便了众多中小企业可以以更低的成本快速接入互联网。完善的网站解决方案、优质的产品服务、以及更为高效的运营效率、加上靠谱的售后保障,胡大鑫实在找不出理由不选择CMS建站的理由。

外包开发弊端:

1.1 市场良莠不齐,人员流动性高,项目代码维护难。

而选择外包公司开发的话就不一样了,外包公司一般都是自己的技术团队,承接各种网络系统的开发,小到一个HTML5网页,大到各种管理系统,都可以做。但是,注意但是。外包公司的团队人员开发素质良莠不齐,因为得益于互联网时代的发展,越来越多的人选择从事程序员行业,各类编程开发培训机构层出不穷,市场良莠不齐,难免造成一些现象:人员流动性高,代码维护难。

原有团队开发的系统后来人员维护困难,以及因为开发人员的本身水平造成项目虽然可以正常上线,但是系统的设计逻辑仍存在很大Bug,给了黑客可乘之机。而对此外包公司确实也没有太多的处理经验,毕竟术业有专攻。

1.2 开发成本高,运营成本高

由于外包公司都需要养团队,加上公司的各项运营开支,所以项目的外包费用也会随之增加。而这些成本最终都是要客户买单。拿网站建设举例,同样功能的商城网站也许几千块钱就能搞定,外包公司也许要收几万甚至十几万。因为毕竟人家是手敲代码一行一行敲出来的啊,开发周期也长,团队人员要发工资啊。

但是谁说CMS系统的代码不是一行一行敲出来的呢,只不过因为有更多的用户买单,所以成本可以降下来。包括后期运营也是,一旦项目出了问题,假设外包公司的原项目开发人员出现变动离职了,找新人对接很难去做好沟通以及代码维护,运营成本太高。

二、找专业网络安全公司对网站进行全方位的检测处理

毕竟客户在现有网站项目上已经花了十几万了,就这么弃用了确实有点尴尬。可以找家专业的第三方网络安全公司,专门针对现有存在漏洞的网站进行一个全方位的安全检测处理,这样就可以网站正常上线了。而经过处理的网站也不用再担心被黑客攻击而索要保护费了,也可以顺利开展网站推广运营,有序推进网络营销工作。

但是不好找啊,据我所知是有专业做网络安全防护的,但是大多都是针对服务器端的安全防护,比如DDOS攻击防护,像这种数据库漏洞维护的还是比较少。而且涉及到数据库,一般来讲要从整个网站的功能需求上去重新设计,了解整个项目的功能需求,有针对性的根据数据库设计的思路去找Bug进而调试代码等等,尤为复杂,只能先找试试了。

而且还要跟这种安全维护公司签好协议,假设经过处理的项目上线之后如果又被攻击了怎么办?光是想一想就是头大,在这里胡大鑫只能感慨:传统行业的企业想要通过互联网上云实在是太难了!

好了,以上是个小插曲,借此机会正好胡大鑫也来给大家讲讲中小企业网站如何做好网站安全维护工作

一、定期修改网站后台管理员登录密码

管理员的账号和密码是关乎网站数据安全的,不定时更改,才能保证网站运营更为安全。因为一旦拿到管理员账号密码,整个站就都暴露了,黑客可以通过后台操作网站所有可以通过后台管理的一切功能,比如:网站内容的增加、删除、修改,页面篡改、链接跳转等等。

二、定期备份网站数据和数据库数据

推荐使用宝塔面板,可以直接进行定期数据备份操作,如下图所示。这样不管是企业内部人员误操作也好,还是被攻击也好,都可以有效的保存网站之前的数据,进行覆盖处理,完美恢复到之前正常的状态,强烈建议一定要做好定期备份工作。

宝塔面板网站备份、数据库备份示例图

三、设置网站后台操作权限

企业可以针对不同的人员岗位分配不同的网站后台操作权限。比如做文章发布的,就只给他分配文章发布管理的权限;做产品的,就给他分配产品管理的权限等等,防止管理账号后台密码外泄而暴露整站的后台操作权限。

四、安装部署SSL证书,升级为HTTPS协议站点

传统的http网站非常容易遭受网络攻击,尤其是流量劫持,会强制用户访问其他网站,从而造成网站流量损失。而安装受信任的SSL证书的HTTPS站点就能有效避免流量劫持。这点也是各大主流搜索引擎和浏览器近几年强烈建议所有HTTP站点进行HTTPS升级改造的原因。

 

五、尽量避免在存在安全隐患的设备和网络环境中操作网站

这里主要指的是公共电脑,譬如网吧电脑等,不要在这类型电脑上登录后台,非常危险。还有比如之前下载过乱七八糟的软件而导致系统中过毒的电脑,被植入某些木马软件,也可能存在系统漏洞。使用之前可以先杀毒。使用不明来路的WIFI网络环境连接登录,也可能会存在一定的风险。

总结:

以上就是胡大鑫(www.hudaxin.com)针对中小企业网站建设以及对网站安全防护工作的指导意见,希望能够帮助到缺乏专业IT运营管理的中小企业吧。说句实在话,确实中小企业尤其是传统行业,没有专业的人员指导真的太难了。走的全是弯路,花了不知多少冤枉钱,还耽误了市场推进工作,大大影响企业的转型发展。本来是想借助网络营销更进一步,结果摔了个大跤。祝愿都能越来越好吧,让这些互联网基础运营知识能够普及开来,助力中小企业真正的有效通过互联网获得佳绩!

原创文章,作者:胡大鑫,授权投稿姜成SEO博客,原文出处:胡大鑫笔记,未经授权严禁转载。


SEO顾问微信二维码

微信扫描左侧二维码 一键关注微信公众号

建网站 /做推广 /SEO优化 /内容代写 /百度排名

免费提供SEO诊断方案 /付费修改页面 /SEO收徒

内容版权声明:除非注明,否则皆为SEO博客原创文章。

姜成SEO技术交流群

转载注明出处:https://www.seoblogs.cn/tougao/20213756.html

留个评论,给我继续更新的动力
  • 全部评论(0
    还没有评论,快来抢沙发吧!