什么是網站篡改

Web 篡改是一種網絡攻擊方式，即惡意滲透網站并替換網站上內容。篡改的內容可能會傳達政治或宗教信息，發布褻瀆或其他讓網站所有者難堪的不當內容，或是在網站上張貼已被黑客組織入侵的通知。

大多數網站和 Web 應用通常將配置數據存儲在運行環境或配置文件中，這些信息或指定模板和頁面內容所在的位置，或會直接影響網站上顯示的內容。對這些文件的意外更改意味著存在安全隱患，可能遭到篡改攻擊。

破壞攻擊的常見原因包括：

未授權訪問

SQL注入

跨站腳本攻擊

DNS劫持

網站防篡改：DIY 好實踐

以下是您現在就可以采取的簡單好實踐，可以保護您的網站并大程度地減少成功破壞攻擊的機會。

應用最小權限原則(POLP)

通過限制對網站的特權或管理后臺的訪問，您可以減少攻擊者造成損害的機會，無論是來自惡意的內部用戶還是由于管理帳戶被盜用造成的。

避免將您網站的管理權限授予并不真正需要它的個人。即便是網站管理員和 IT 員工這樣的用戶，也只該授予他們履行職責所需的權限。密切關注供應商和外部貢獻者，確保他們不會獲得過多的特權，并在他們完成網站建設或運維工作時撤銷他們的特權。

避免使用默認的管理目錄和管理電子郵件

永遠不要為您的管理目錄使用默認名稱，因為黑客知道所有常見網站平臺的默認名稱，并且會嘗試訪問它們。同樣，避免使用默認的管理員電子郵件地址，因為攻擊者會嘗試使用網絡釣魚電子郵件或其他方法來破壞它們。

限制附加組件和插件的使用

您在 WordPress、Joomla 的 Drupal 等常用網站平臺上使用的插件或附加組件越多，您面臨軟件漏洞的可能性就越大。因為，攻擊者可能從中發現零日漏洞。并且，即使有安全補丁，升級也不會立即執行，這讓網站面臨著風險。此外，仔細維護和升級所有網站插件并快速應用安全更新，這些都應該是日常操作。

限制顯示錯誤信息

避免在您的站點上顯示過于詳細的錯誤消息，因為它們可以向攻擊者揭示網站的弱點，幫助他們策劃攻擊。

限制文件上傳

許多網站允許用戶上傳文件，這是攻擊者利用惡意軟件滲透您的內部系統的一種簡單方法。確保用戶上傳的文件永遠沒有可執行權限。另外，如果可能，請對用戶上傳的所有文件運行病毒掃描。

啟用安全加密 (SSL/TLS)

網站防篡改措施進階

雖然安全好實踐很重要，但它們仍然無法阻止許多類型的攻擊。您需要自動化安全工具來做防護。這些方案通常使用以下幾種技術來全面保護網站免受篡改。

漏洞掃描

定期掃描您的網站是否存在漏洞，并投入時間修復您發現的漏洞。這通常會很耗時，因為升級搭建網站的平臺或插件可能會破壞內容或功能。但這是提高總體安全性的好方法之一，尤其是能夠大大減少滲透和破壞的機會。

防止SQL注入

確保所有表單或用戶輸入都不能夠將代碼注入您的內部系統。凈化所有輸入，防止正則表達式、特殊字符或字串等被用于代碼執行。

防御跨站腳本攻擊(XSS)

XSS 使攻擊者能夠在網頁上嵌入腳本，這些腳本會在訪問者加載頁面時執行，并可能導致網站篡改以及會話劫持或偷渡式下載等破壞性的攻擊。

清理輸入有助于防止 XSS，您應該特別小心，不要將用戶輸入或不受信任的數據插入到 HTML 代碼中的