保护Weebly网站的安全指南
Weebly建站最近向大多数用户发送了安全通知,要求更改帐户密码。这是由于他们的系统可能遭到黑客攻击,您可以在 Weebly 公开发布的这篇文章中找到有关该问题的更多详细信息。尽管声称它对用户没有影响,但它向 Weebly 用户表明了保护您的数据免受黑客攻击的重要性。以下是关于 Weebly 所说的文章的摘录:
您是何时以及如何得知此事的?
Weebly 最近在过去几天内发现,未经授权的一方为我们的大量客户获取了电子邮件地址和/或用户名、IP 地址和加密(bcrypt 散列)密码。我们立即展开调查,确认文件中某些数据的真实性,并开始采取措施进一步加强我们的网络安全,保护和通知我们的客户。
在本文中,我们解释了保护您的 Weebly 网站并保护其免受黑客攻击的基本步骤。
以下所有要点适用于在 Weebly.com 上免费托管的用户。在本文后面,对于那些在 Bluehost、HostGator 或 SiteGround 等付费托管平台上托管 Weebly 网站的人,我们提供了一些额外的要点。
推荐:WordPress备份插件Backuply Pro备份管理插件
保护 Weebly 网站的终极安全指南
以下是您的 Weebly 网站的安全检查表。预防胜于治疗,因此遵循简单的安全步骤来保护您的帐户并远离危险并没有错。
- 让您的电脑远离病毒
- 使用强密码
- 经常更改密码
- 确保您的电子邮件安全
- 禁用社交登录
- 删除付款方式
- 检查登录历史
- 检查编辑登录
- 禁用登录/注册
- 不要安装不必要的应用程序
- 使用来自可靠来源的嵌入代码
- 避免修改源 HTML / CSS
- 不要上传可执行文件
- 从可靠的供应商处购买主题
- 不要泄露敏感信息
- 保留备份
- 使用 SSL 进行在线商店
- 使用谷歌恶意软件检查工具
- 备份所有内容 – 付费托管
- 使用 robots.txt 和 .htaccess – 付费托管
- IP 封锁 – 付费主机
1. 保持您的计算机无病毒
在访问您的 Weebly 帐户之前,请确保拥有干净的笔记本电脑和手机。您计算机上的病毒感染可以通过您上传的文件传播到您的网站,并可能分发给访问您网站的多个用户。安装防病毒软件并运行定期检查以使您的文档和文件免受病毒侵害。还要避免从不安全的公共网络访问您的帐户,以保护您的隐私和数据。
2.使用强密码
密码是黑客尝试使用自动机器人登录您的帐户的第一件事。因此,为您的 Weebly 帐户设置一个强密码非常重要。不要与任何人分享,包括你的编辑。有许多在线密码生成器工具可以为您创建强密码。您还可以使用密码强度检查工具检查密码强度。
3.经常更改密码
请记住每隔几个月定期更改一次密码。导航到您的帐户设置并使用“编辑个人资料”链接更改密码。
在 Weebly 帐户中更改密码
如果您在登录时通过选择“记住我”将密码保存在浏览器中,则通过自动登录确保没有其他人访问您的网站内容。另外不要忘记在浏览器中更新新密码,以便自动提示正确的密码。
使用更安全的登录选项
4. 确保您的电子邮件安全
Weebly 允许任何人只需输入您的帐户电子邮件地址即可重置密码。如果此人可以在智能手机上访问您的电子邮件,那么他/她可以重置密码并访问您的帐户。确保您的电子邮件不会与任何人共享,尤其是在您在组织中工作时与您的同事共享。
重置 Weebly 密码
5. 社交登录
Weebly 允许您通过 Facebook 和 Google+ 登录您的帐户。虽然这让生活更轻松,但它也带来了安全问题。任何可以访问您的社交帐户的人都可以登录您的网站并注入恶意内容。这是 Weebly 安全更新中与此相关的问题:
我的任何其他帐户(Weebly 之外)是否存在风险?
不可以。但是,如果您在多个帐户上使用相同的密码,我们建议您重置密码。安全专家建议为您在线登录的每个帐户设置一个唯一密码。
因此,Weebly 人自己建议更改所有关联帐户的密码。
6. 删除与您的帐户关联的付款方式
与您的 Weebly 帐户关联的付款方式的详细信息存储在 Weebly 的数据库中。Weebly 服务器上的任何安全漏洞都会影响像您这样的客户。例如,您可以在“账户 > 付款方式”下看到您账户的信用卡详细信息,如下图所示:
在 Weebly 帐户中删除信用卡
尽管 Weebly 声称他们不会存储完整的信用卡号码,但我们相信存储在后端的支付信息足以入侵您的财务账户。建议在以下情况下移除卡片详情:
- 如果付款是一年一次或两年一次,因为 Weebly 在某些计划上提供两年服务。
- 如果您的卡在下次付款前到期。
- 您使用高级计划创建了测试站点,用于测试、培训或开发。
在任何情况下,当更新到期日临近时,您都会收到提醒电子邮件。您可以在需要时添加付款方式以保持计划运行。
注意 Weebly 为开发者帐户提供性能计划,以帮助开发者构建适用于所有计划的应用程序。如果您想检查性能计划的工作原理,请创建一个开发者帐户并对其进行测试,而不是使用高级计划创建一个测试站点。
推荐:ACF扩展插件Advanced Custom Fields Extended PRO
7.检查帐户登录历史
大多数用户不知道在帐户级别检查登录历史记录的功能。导航到您的帐户设置并在“登录历史”选项卡下查看。在这里您可以看到每个登录的时间戳、国家和 IP 地址的详细信息。如果您有疑问,请查看登录历史记录以查看您登录帐户以外的任何人。
检查帐户登录历史
8.检查编辑上次登录
Weebly 允许“编辑”权限设置来帮助多个用户处理具有不同角色和权限的单个站点。多个用户编辑单个站点增加了安全风险的可能性,因为每个人都可以直接从他们的仪表板访问站点内容。确保为您的编辑提供“作者”访问权限而不是管理员访问权限,以便他们只能访问所需的页面。
此外,编辑权限是邀请第三方开发人员访问您的 Weebly 网站而不共享您的帐户详细信息的唯一方法。这是一种常见的情况,尤其是当您从第三方开发商处购买应用程序或主题并希望他们解决您网站上的问题时。强烈建议在故障排除完成后删除对第三方开发人员的管理员访问权限。大多数时候,我们注意到用户永远不会删除访问权限,开发人员可以登录并在您的网站上注入任何类型的代码。
当您怀疑您的网站有问题时,请在“设置 > 编辑器”部分下检查您的编辑器和开发人员的最后登录详细信息。如果有人在您不知情的情况下访问您的网站,这将为您提供线索。
检查编辑和开发人员上次登录
9. 仅在需要时启用登录/注册
登录和注册功能对于创建完整的会员站点很有用。我们注意到许多用户在没有进一步使用的情况下启用了这些功能。如果您的目的只是收集时事通讯的电子邮件,那么您可以使用“时事通讯”元素。黑客可以创建虚拟帐户来登录并检查跟踪您的内容的可能性。因此,只有在您能够长期处理这些功能时才启用这些功能。
10. 不要根据评论安装不必要的应用程序
Weebly 通过其应用中心为黑客打开了一扇巨大的后门。您可以真正计算应用中心上可用的优质应用。我们强烈建议不要安装或测试任何不必要的应用程序,并遵循以下几点:
- 大多数评论都是虚假评论。我们可以看到一个应用有超过 150 条评论,只有 3 条单星评论,其余都是 4 / 5 星。即使使用高质量的应用程序,这几乎是不可能的,因为用户往往会留下评论,主要是针对问题和问题。
- Weebly 自己的应用程序没有按预期运行,这表明代码和集成质量很差,这很容易成为黑客的切入点。
- 一些应用程序直接从您的 Weebly 帐户收集个人数据,并在外部开发者网站上创建帐户。避免使用此类应用程序,因为它们拥有您的 Weebly 凭据,并且无法保证他们会将您的详细信息泄露给任何其他第三方。
我们强烈建议在购买应用程序之前与开发者讨论,并避免安装免费应用程序以保护您的内容。
11. 使用可靠来源的嵌入代码
我们已经看到用户在没有适当测试的情况下在整个站点中使用嵌入代码元素。当我们在 Weebly 上运行这个网站时,我们遇到了一个奇怪的问题。我们使用两行小部件代码来使用嵌入代码元素显示社交共享图标。该页面与桌面上的社交图标完美加载。但在手机上,它会自动重定向到色情网站。由于我们没有在移动设备上进行测试,因此花了很长时间才发现问题。
在一段时间内,您会忘记在您网站的哪些页面上添加了哪些代码。因此,仅当您需要并且知道自己在做什么时才使用嵌入代码元素。确保定期关注现成的小部件(如天气、时钟、日历、社交图标等),以保护您的网站免受恶意软件的侵害。
12. 仅在需要时修改 HTML/CSS
与嵌入代码类似,修改源 HTML 和 CSS 也会导致您的站点出现安全问题。如果您没有足够的知识,请避免使用从不可靠来源复制的代码来修改模板文件。不幸的是,网络上有许多教程网站提供了 Weebly 主题的修改代码和脚本。在使用您网站上的代码和脚本之前,您可能需要检查此类来源的可靠性。
13. 不要上传可执行文件
避免在您的 Weebly 网站上上传可执行文件和 JavaScript 文件。可执行文件很容易成为病毒并传播到访问您网站的用户的计算机上。一个恶意软件会完全从 Google 搜索中删除您的网站,并破坏您多年来花费的所有辛勤工作。
14. 从可靠的供应商处购买自定义主题
Weebly 提供的主题种类较少,无法满足所有用户群。这导致最近出现了许多开发人员并从他们自己的网站上销售自定义主题。如果您喜欢任何第三方主题,请先与开发人员讨论并要求演示。确保开发人员是可靠的,并且您可以在需要时提供对您网站的访问权限。
特别是如果您经营在线商店,我们强烈建议您选择默认的 Weebly 主题之一,而不是购买第三方主题。这有助于通过单一管理员维护和保护您的客户数据,并且易于从 Weebly 支持获得帮助。
注意 Weebly 不支持来自嵌入代码、站点修改、第三方主题和应用程序的问题。因此,如果您在您的网站上使用其中任何一种,您有必要了解安全影响。
15. 不要泄露敏感信息
大多数 Weebly 用户将安全部分留给 Weebly,因为所有内容都免费托管在 Weebly 的服务器上。安全性不仅在于将信息存储在 Weebly 的服务器上,还在于不泄露机密信息。如果存在安全问题,您将受到比 Weebly 更大的影响。以下是一些内容指南:
- 请记住,您网站上的所有内容都将被搜索引擎编入索引并向公众展示。即使您对搜索引擎隐藏了页面或站点,搜索引擎机器人也有很多可能性可以通过外部站点访问您的内容。此外,任何人都可以打开 robots.txt 文件并检查受限制的 URL 以直接在浏览器上打开。
- 仅使用密码保护的非敏感信息。例如,切勿存储信用卡号并为该页面设置密码。
- 访问您的 Weebly 帐户的黑客可以轻松访问受密码保护的页面,即使页面详细信息未在搜索引擎上公开可见。
- 不要在内容上使用普通的电子邮件 ID,始终使用联系表格进行交流。也仅在您的业务需要的表单上使用文件上传功能。
- 避免在评论部分与客户讨论,并要求他们通过联系表格发送查询。始终查看评论并手动批准,而不是启用自动批准。这将有助于避免垃圾邮件发送者针对您的网站留下垃圾评论。
16. 保留备份 – 站点和联系表详细信息
定期下载网站档案和联系表格的详细信息,以备不时之需。虽然 Weebly 不允许恢复备份,但如果您的网站很小,您至少可以迁移到其他平台或复制/粘贴内容。
除个别博客文章外的网站内容可以在“设置 > 常规 > 存档”下以 zip 存档的形式下载。
下载 Weebly 站点备份
联系表格的详细信息可以从您的仪表板中导出。如果您在 Weebly 上有一个大型博客,那么请自行组织以保持 Word 或 PDF 格式的文章离线,而不是直接在编辑器上书写。
17. 使用 SSL 进行存储交易
如果您正在运行在线 Weebly 商店,请使用 HTTPS 协议。与纯 HTTP 相比,这有助于通过安全协议发送所有信息并保护客户的数据。除了黑客之外,处理您的同事或同事访问您的 Weebly 帐户也很重要。
是否涉及我的电子商务客户的任何信息?
不,据我们所知。提供给我们的文件不包括来自我们客户的客户的信息或任何可用于欺诈性收费的财务信息。Weebly 不存储完整的信用卡号。
18.使用谷歌安全浏览检查工具
定期扫描您的网站以查找恶意软件和其他注入。有很多第三方工具可以进行网站扫描。如果您正在运行任务关键型网站,则将扫描任务外包给任何安全公司并定期获取报告。如果您有正常的网站并具有适当的离线备份,请使用 Google 恶意软件检测工具检查您网站的状态。
谷歌安全浏览检查工具
此外,恶意软件感染的第一个迹象是流量损失,因为搜索引擎将降低受感染站点的排名。当您注意到 Weebly Stats 的流量突然下降时,请检查您的 Google Search Console 帐户是否收到任何警告消息。然后使用谷歌恶意软件检测工具来确保您的网站状态没有被感染。
如果您坚信您的数据已被泄露,请向 Weebly 报告并与他们讨论如何进一步处理。您还可以检查您的 Google Search Console 帐户,该帐户将显示您网站上可能存在的安全问题。
检查 Google Search Console 中的安全问题
对于使用付费托管的 Weebly 网站
付费托管有其自身的优点和缺点。如果您在 Bluehost 或 SiteGround 等付费平台上托管 Weebly 网站,这里还有一些安全提示。
19.备份所有内容
付费托管的支持已完成,并且可以在大多数平台上单击即可恢复。虽然我们没有测试是否可以备份单个博客文章,但无论您拥有什么内容,都可以使用 FTP 将其恢复。SiteGround 等公司提供单击恢复到特定日期的功能。因此,您可以在几分钟内通过备份恢复整个站点。
20. 使用 Robots.txt 和 .htaccess 来限制访问
在付费平台上,您将可以访问您的 Weebly 站点的根目录。这有助于您访问可用于限制访问的 .htaccess 和 robots.txt 文件。例如,您可以监控访问您网站的机器人并使用 .htaccess 指令阻止特定的恶意机器人。
21. IP 封锁
IP 阻止对于在自己的域上具有登录/注册 URL 的会员站点非常有用。您可以轻松追踪访问您网站的 IP 地址,并从主机帐户控制面板 (cPanel) 中阻止所有这些 IP 地址。
结论
安全是一种习惯,而不是你做过和忘记的一次性活动。作为一个平台,Weebly 有更多的责任和义务来照顾他们的客户数据。但是在不幸的事件中,受到影响的是你而不是 Weebly。因此,我们强烈建议您遵循本文中提供的简单指南来保护您和您客户的数据。
