百度站长平台:网站安全风险及应对方案
发布日期:2017-06-12一、网站安全风险介绍
1、网络流量劫持
访问请求通过DNS劫持或者HTTP 302的方式被重定向,返回响应中被插入恶意内容。
典型的像插入tn后缀跳转和插入色情广告,既影响了用户访问体验,增加了网站违规风险,又减少网站流量收益。
2、搜索返回劫持
通过对搜索结果第三方网站内容进行劫持或网站主动作恶,使得用户操作返回按钮时,返回到假百度首页,从而操作返回后的搜索结果页。
劫持者可以替换任意的搜索结果,可以将竞争对手的词替换成自己的网站链接,干扰正常网站的流量收益。
搜索返回劫持常见功能:
(1)支持任何手机搜索引擎如百度、360、搜狗、神马;
(2)兼容全部手机浏览器;
(3)任何关键词搜索都可以实现劫持跳转;
(4)防查防封防举报:PC端打开网页无跳转,PC端通过搜索进来的也无跳转,手机端直接输入网址打开手机网站返回无跳转,只能是手机端通过百度、360、神马、搜狗等搜索引擎搜索关键词进入到手机网站才有返回跳转;
(5)网站内部之间无跳转,代码可以加全网站,不用担心站内无法返回前一个页面,只有用户手机按返回离开网站的时候才有跳转;
使用方法:在网站上安装好代码之后,从百度过来的流量,当其按返回键或者后退键本应该退回百度搜索,但是用了我们的代码之后回退就回到我们自己定制的假百度搜索页面,展示效果和百度推广一模一样。
搜索返回劫持主要优点:
(1)真实度和百度手机搜索100%相近,用户分不出来真假;
(2)搜索结果任意替换,可替换竞争对手的,点击他们的进入到自己网站;
(3)竞争对手词任意替换,可以把他们的词替换成自己的;
(4)自己添加广告位,点击广告免费;
(5)默认搜索第一页三个广告位,两个创意广告,一个免费电话广告,第二页是一个广告位,点击广告位都是免费的,根据客户需求可以任意修改;
(6)好大夫,120ask,竞争对手的域名等等可以替换成自己的,打开是自己的网站;
(7)相关搜索默认打开是自己的网站,广告价值利于最大化;
(8)假百度搜索屏蔽竞争对手的医院名称,搜索他们的显示是自家的;
(9)假百度首页按手机返回键一直返回的是假百度首页,用户返回不了真百度页面。
3、网站被黑挂马
黑客利用漏洞和渗透技术,黑掉网站服务器,然后在网站挂木马或者插入恶意内容。被黑后,所有风险由站长承担,收益与站长无关。
第一个风险:网络流量劫持,举个case,一家做鲜花的电商,本来在百度的订单转化非常好。最近发现,用户在打开网站的时候,里面插入了尺度比较大的色情广告,导致网站转化率非常低。用户做测试发现是被劫持了,被劫持之后我们给站点提供了解决方案和指导,后面劫持现象就消失了。网络流量劫持现象非常普遍,站点流量损失有20%左右,对站长带来的伤害非常大。
第二个风险:搜索返回劫持,就是常见的假百度,用户通过访问百度点击第三方站点,在浏览器上做回退的时候,跳到一个假百度,这样的情况对用户伤害极大,是百度坚决不允许的。
第三个风险:网站被黑、挂木马,会导致在网站上放置恶意广告而站点不知情,这种风险甚至会让站点承担法律责任。
二、网站安全应对方案
1、网络流量劫持
使用 HTTPS 可以解决针对网络通道的劫持和恶意内容插入。
2、搜索返回劫持
网站和搜索厂商都要支持HTTPS,加强生态和协作建设,打击主动作恶者。
3、网站被黑挂马
使用第三方主机防护产品或云防护(WAF web应用防火墙),快速修补漏洞,加强服务器安全管理。
关于上述的网络安全风险,诸如网络流量劫持、搜索返回劫持,都可以通过HTTPS加密解决,而且目前搜索已经对HTTPS给到很好的支持;网站挂马被黑,现在比较成熟的方式是用主机防护产品或者是第三方的web防护产品做你的服务器的网站安全管理。
三、网站安全方案实践
方案1:自主选择主机防护产品 + 自主进行HTTPS改造
自主选择主机防护产品
网站自己选择对应的主机防护产品和WAF产品进行部署,也可以根据业务特点,自己开发相应的防护软件。可选的主机防护产品类别有服务器安全加固,入侵防护系统,病毒木马查杀,内容防篡改等,对应的产品厂商有安全狗,云锁,护卫神,主机卫士等。自主进行主机防护,需要对市面上的主机防护相关技术及产品类别,特点有比较清楚的了解,并且还需要对各家产品进行系统化的搭配组合才能有较好的效果。
自主进行HTTPS改造
1、申请SSL证书;
2、选择合适的密码套件和openssl版本;
3、将证书加入到web server(Nginx Apache等);
4、根据自身业务需求进行HTTPS配置;
自主HTTPS服务保障
· 网站证书管理
· 加密组件选择
· 爬虫兼容处理
· 浏览器兼容处理
· 协议漏洞维护
· 针对HTTPS的攻击
方案2:使用云WAF防护产品 + 使用云平台HTTPS改造
云WAF防护产品
使用云WAF产品部署简单方便,升级维护不需关心,且防御效果好,对服务器资源无消耗。市面上可选的云WAF产品有阿里云,网站卫士,百度云加速等。
云平台HTTPS改造
· 平台提供方便的证书申请,存储,更新,吊销
· 证书部署在云上,网站无需手动配置
· 加密组件和协议漏洞由平台专业安全团队维护
· HTTPS性能由云平台负责优化,网站服务器不增加投入
· 浏览器兼容由平台统一处理,网站不需要关注
云化HTTPS服务,优点是站长省时省力,像证书的申请更新吊销等,以及组件和协议漏洞都是由专业的安全团队来维护的,性能也是有云平台优化的,节省站长处理的时间和精力。云化HTTPS服务的解决方案,只要四个流程即可:
1、一键开启;
2、子域名管理中点击HTTPS加速,开通HTTPS功能;
3、在DNS服务商处修改域名指向到指定域名,进行签发证书验证;
4、证书签发成功后,就可以为网站提供HTTPS服务。
总结以上2中方案,自己做的话,可以贴合网站的业务定制,会比较灵活,问题是对技术能力要求高,成本和复杂度也很高,如果网站业务比较特殊的可以选择自己做。
云平台方案部署和运维都很简单,技术要求也低,云平台在不断提高他防御能力的同时,相应站点防御标准也会跟着提高,另外技术服务支持效率也高。但云平台基本上都是标准的服务产品,很少做特别定制,这是云平台的缺点。
沃通CA为网站升级HTTPS全程提供 优质HTTPS证书 和 免费技术支持。沃通HTTPS证书,全球信任,支持所有浏览器,性价比高,安全可靠,支持30天无条件退款,60天免费试用,提供7天 x 24小时x 365天的不间断售前和售后服务,欢迎申请。
参考来源:百度站长平台,文章链接:https://www.wosign.com/News/baidu-website-https.htm
推荐阅读:
为了保障用户的体验和站点的收益,百度特别建议HTTP网站将协议改造成HTTPS的协议,降低被劫持的风险,避免因劫持被搜索算法打击!为了更好的满足站长在搜索中HTTPS的体验,站长平台将原有的HTTPS属性升级成了HTTPS认证工具。
5月25百度站长平台发出通知将全线支持站点HTTPS,网站提示不安全,将会接受惩罚。百度搜索也宣布全面支持HTTPS页面直接收录,百度站长平台所有站长工具也将陆续支持HTTPS站点使用。
5月25日,VIP大讲堂用3个小时的时间给大家介绍网站HTTPS改造方案等内容,那么百度搜索对HTTPS站点的支持到底怎样了吗?让我们赶紧看看百度高级搜索工程师是怎么说的。
2017年5月25日,由百度站长平台主办的百度搜索安全大讲堂在中关村科技园互联网创新中心举办,会议上,来自百度安全实验室的专家、百度搜索高级工程师、百度云加速高级工程师组成的专家团,给百余个互联网站点针对网络安全问题做一了场精彩的培训。
为适应谷歌搜索引擎的规则,升级HTTPS时应注意哪些问题,HTTPS升级的常见问题有哪些?看谷歌官方给站长的HTTPS升级建议。