“一盎司的预防,胜过一磅的治疗。”这是本杰明·富兰克林在 1736 年说的话,当时他正试图劝告他的费城同胞,效仿他在波士顿看到的那些令人印象深刻的消防预防措施。
因此,我们也在此恳请你采取预防措施。已经有多家公司联系我们,要求修复被黑客攻击的网站、被入侵的电子邮件账户以及丢失的数据。请相信,在它们失去之前,人们往往视其为理所当然,直到真正失去它们时才会追悔莫及。
不要以为自己是中小企业、身处没人关注的细分行业、或者业务不怎么面向公众,就能幸免于难。黑客正是利用这种麻痹大意。他们深知那些自以为“雷达之外”的公司往往最容易松懈,从而成为理想的攻击目标。更何况,如今大量黑客攻击都已实现自动化,无论你是谁,他们的脚本都可能扫到你。
以下是你和团队今天就可以采取的一些步骤,帮助你抵御不法分子的侵害:
1. 把所有密码都改成复杂且唯一的
是的,这听起来很简单、也是老生常谈,也许看起来理所当然,但你真的做了吗?……
我们时常遇到这样的情况:某个客户在我们为他们完成网站好几个月甚至更久之后联系过来,希望修改或修复网站上的某些内容,确认我们能否帮忙。没问题,我们尝试使用当初交付网站时的那套旧密码,一试还能用,于是就直接登录并完成了任务。
方便吗?确实很方便。但这符合安全规范吗?很遗憾,并不符合。在这段时间里,那个密码得到了妥善保护吗?有多少人保存了它,却并没有妥善加密存储?在通过电子邮件或聊天工具传递这些密码时,有没有人的邮箱或聊天账号在这段时间里被攻破过?你可以信任 SEIRIM,但如果你之前找的是别的代理机构,在这期间又有多少人员流动?他们离开时又带走了多少数据?
此外,请务必为你的网站、服务器、数据库以及你使用的所有服务设置不同的密码(和用户名)。这样一来,即便某个服务的密码被攻破,也不会导致你所有服务一并失守。这对你的员工也同样适用:如果他们的网站密码和社交媒体密码相同,而社交媒体账号又恰好被黑,那么你的网站就很可能是下一位“受害者”……
所以,在合适的时机,请务必把密码改成新的、复杂的(难以猜测、包含随机字母、数字和符号组合,老规矩了),仅与当前确有必要的人之间共享,并将其保存在安全的地方。
2. 安全存放密码
现在你已经为所有服务设置了复杂且唯一的密码,那么要记住这么多密码就变得非常困难。这里有一点非常重要:千万不要仅仅把密码存到一个 Word 文档里。请使用密码管理器,我们比较推荐 RoboForm,把密码保存到里面,利用加密妥善保护,直到你用那把“总钥匙”(这需要另一个密码,千万别忘了它,而且一定要保管好……)解锁密码库。
这样,当你需要分享新密码以便开展工作时,在此之前它一直处于安全保存、并且极少暴露的状态。你可以把密码分享给对方,但在对方完成工作之后,请重复上述步骤:重新设置一个新密码,把它分享给少数可信的备份人员,然后重新锁定你的网站、服务器、邮箱等各类服务。
此外,请确保各项服务的密码各不相同,这样即使其中一个密码泄露,也不会导致所有账号同时面临风险。
- 严格保护你的密码和用户账号
3. 使用权限受限的账号访问网站
你和你的同事、内容团队以及网站开发人员,是否都用同一套账号密码登录网站?而且很可能还是拥有“管理员(Administrator)”权限、可以对网站做任何重大修改的账号。一旦有人保管不善导致凭证泄露,黑客就等于拿到了“整栋房子”的钥匙。
请为团队成员创建单独的账号,只授予他们完成本职工作所需的权限。如果他们只是需要添加或更新博客文章,那么只给他们相应的内容编辑级别即可。这样一来,即便他们的账号和密码被攻破,攻击者能造成的破坏也会大大降低。
此外,通过使用不同的账号,一旦发生问题,也更容易追踪到源头并封堵这一安全漏洞。
4. 运行杀毒和反恶意软件
非法访问有可能通过团队成员电脑被入侵而发生:恶意软件会在这台电脑上寻找存储的网站访问凭证,或通过键盘记录程序窃取输入的信息。团队成员用于访问服务器和网站的电脑,都会成为潜在“入侵跳板”,因此必须作为预防的一部分进行良好维护。
你也可以对网站本身运行杀毒和恶意软件扫描,比如使用 Malwarebytes for Business 之类的工具。
不过,不要把这些扫描当作万能良方。它们只能查出已知、相对明显的病毒和恶意软件。黑客一直在研发新的攻击手法,这些工具未必能第一时间发现,因此仍然需要从各个层面保持警惕,以确保安全。
5. 预防社会工程攻击——在办公室强制执行简便的安全规范
真正对你团队 IT 基础设施、乃至最终对你网站构成最大威胁的,往往源于员工的日常行为。不仅仅是那句显而易见的“不要点击可疑邮件中的链接”。黑客会在看似正常的网站广告中植入恶意脚本,也会把恶意代码隐藏在看起来很普通的软件里。电子邮件的发件人地址可以被伪造,看上去就像是来自一个可靠的来源,甚至是你团队熟悉的人,但里面其实包含恶意链接或恶意下载。
因此,仅仅“知道”这种风险远远不够,团队成员必须在日常工作中有意识地保持警觉和留心。
他们应该始终做到:
- 仔细核对邮件是否真正来自正确的发件人,不要只看发件人名称,要查看实际的发件邮箱地址。
- 不要在没有检查的情况下直接点击邮件中的任何链接。先用鼠标悬停在链接上,看看实际要打开的 URL 是否可信。也可以使用浏览器插件帮助检查 URL。如果不确定,请主动发送新邮件联系发件人,确认这封邮件是否真是对方有意发给你的。
- 切记:即使可信来源也有可能被黑客入侵,所以即便是来自“熟悉”的链接或下载内容,也要保持警惕。
- 至少在最基本的层面上,避免使用明显来路不明的软件进行下载等操作。
- 不要在社交媒体上过度分享信息,尤其是那些可能被用来“反向推理”出敏感信息、从而导致公司被黑客攻击的相关内容。同时也不要随意点击社交平台上的不明内容,其中往往隐藏着恶意链接和下载项。
- 通过时刻保持警觉来预防社会工程攻击
6. 更新所有软件、服务器软件、CMS(内容管理系统)、主题和插件
黑客时刻在寻找软件中的可利用漏洞,包括你网站所用服务器操作系统、所使用的 CMS、任何网站主题以及可能数量众多的插件和附加组件。理想情况下,软件开发者会不断修复发现的漏洞,并通过更新推送这些关键补丁。
许多公司抱着“没坏就别修”的心态关闭了自动更新功能,但在这种情况下,这种想法是错误的。不更新的软件往往会成为黑客的首选攻击目标。
7. 对插件保持警惕
在中小企业网站被黑的诸多原因中,最常见的一种就是:本意良好的团队成员想要优化网站或增加功能亮点,于是安装了那些营销做得很好、看上去非常棒的新插件。遗憾的是,每增加一个插件,网站就多了一个潜在攻击入口,而插件本身也是黑客最喜欢用来藏匿恶意代码、充当“木马”的载体之一。
最稳妥的做法,是限制团队成员在未经网站开发人员或安全分析人员审核之前,擅自往网站里添加插件。
8. 定期备份网站和关键数据
备份网站有很多不同的实现方式,定期备份都应被视为一项必要措施,不仅是出于网络安全考虑,也是为了应对网站自身问题或服务器故障。建议通过自动化流程,定期将网站备份到独立于主服务器的外部存储位置,同时也要不定期进行人工核查,确保备份流程确实按预期运行。
Seirim 很乐意协助搭建这套流程。具体的最佳方案会根据你网站的类型与服务器架构、所在地区、预算等因素而有所不同。
9. 尽可能启用双重身份验证(2FA)
作为一道强有力的额外防线,配合安全密码和安全的密码存储方式,双重身份验证可以极大提升数字资产的安全性。现在很多 CMS 和服务器都已经支持 2FA 功能,包括通过插件实现的 WordPress,通过产品扩展实现的 DotNetNuke,以及原生支持 2FA 的 Joomla 和 Drupal 等。我们最常用、也最推荐的是 Google Authenticator,很多服务也都支持它。
10. 为网站配置 SSL 证书
这一点对有经验的开发人员来说并不难实现,但要注意每年按时续费。Let’s Encrypt 提供免费证书,不过我们则更偏向于花一小笔钱使用 SSLS.com 的付费服务(费用仅需几美元)。为网站配置 SSL 证书非常关键,因为它会使用公钥加密技术来加密服务器与用户浏览器之间传输的数据。这意味着无论用户只是简单提交邮箱地址,还是输入信用卡等敏感支付信息,这些数据都能在他们与服务器之间保持私密。同时,SSL 也有助于确立网站的真实身份,将其与虚假克隆网站区分开来,从而让用户确信自己访问的是正确的网站。
正因为 SSL 如此重要,像 Google 这样的机构如果发现你的网站缺少证书,将导致搜索排名下降。此外,浏览器地址栏也会显示“不安全”的提示。在没有 SSL 证书的网站上,请不要提交个人或重要信息,因为你无法确定这些数据是否会被安全地传输。
结语:
以上只是起点,是最低限度的要求!一开始这些措施看起来很繁琐,但久而久之就会变成习惯,就像出门前顺手确认一下自己是否带了钥匙一样自然。请相信我们,我们处理过各种被黑事件:整站被毁、数月的工作成果毁于一旦、大量精力和数据化为乌有。在别处,企业蒙受数十亿损失,个人身份信息被盗等等,诸如此类的惨痛后果不胜枚举。那“一分预防”绝对值回“十分治疗”,这一点毋庸置疑。请立即采取行动,保护好您的网站、服务器和数字生活。
2026-03-11 - 网络安全
2026-02-02 - 网络安全
