网站的安全性(HTTPS网站都是安全的吗？)

题图来自Unsplash，基于CC0协议

本文目录

正文

1、HTTPS网站都是安全的吗？

作为在互联网上拥有最大号召力和影响力的科技巨头之一，谷歌已采取行动使互联网变得更加安全。从打击行为不端的广告以及不安全的网页内容，谷歌在Chrome网页浏览器上积极引导开发人员和IT管理员采用最佳的行业管理做法。

谷歌表示Chrome用户在安全HTTPS页面上访问的时间占比高达90%以上，而且公司表示将会从明年开始，通过阻止不安全内容来进一步加强对网络内容的控制。

Google一直在通过在Chrome中清楚地标记不安全的网页，推动站长和开发人员转移到HTTPS上，并且对非安全网页进行明确标记。它既是对用户的警示，又是对这些不端行为的警告，目前已经初显成效。但是遗憾的是，这个HTTPS标记并非是准确的标记，因为即使HTTPS页面实际上也可能包含不安全的内容。

在安全页面上可能会有意或无意通过纯HTTP不安全地加载子资源，这种情况称之为“mixed content”（混合内容）。这些子资源不仅包括图片和视频，还包括脚本和iframe或嵌入式网页。换句话说，即使是安全的网页，仍可能通过在外部或通过其他渠道加载的那些内容来使用户面临风险。

Google会通过阻止混合内容来解决这种问题，不过这需要一段过渡时期，以使用户和开发人员都有时间进行调整。谷歌表示从2020年1月面向开发渠道的Chrome v80开始，包含混合内容的HTTPS页面也会标记为“Not Secure”。

它还会尝试将这些混合内容自动升级到HTTPS，但是如果失败，Chrome将会完全阻止它们。2020年2月发布的Chrome 81将会大规模部署。今年12月推出的Chrome 79将允许用户按站点取消阻止混合内容。

2、怎么知道网站（网址）是否安全？

在悟空问答解答的第318个问题。怎么知道网站（网址）是否安全？

其实目前市面上多数浏览器都提供了安全拦截和提醒功能，如果遇到浏览器或电脑杀毒软件的安全提醒，不熟悉的话就一定要注意了，尽量不要访问。

除此之外，我们还可以从网页本身内容查看两方面的信息：

1、网站的网址是否是https开头，尽量不访问http开头的网址。

2、在网页的最下方，是否有网站的备案号，如果有的话可以查看该网站的备案信息。

3、可以使用一些网址风险查询的网站，看该网址是否有风险信息。

上述方法通常已经能判断一个网站是否正规网站，如果仍然不确定，那么我们可以从防范下手：

1、电脑杀毒软件和防火墙一定要保持开启状态。

2、千万不可相信任何提及密码、银行卡、转账等等内容的信息。

3、网站安全性需要做哪些？

1、选择安全的主机 提高网站的安全性第一步就是选择信誉良好的主机，选择预算范围内的大品牌口碑较好的主机，国内的比如阿里云、腾讯云等。正规的大平台不仅主机稳定，还能提供优秀的技术支持。所以，出于对网站安全负责的态度，为了避免不必要的麻烦，还是尽量选择大平台主机。 2、及时更新软件 大多数内容管理系统（CMS）依赖于第三方插件，这些插件可能会将网站漏洞暴露给黑客。鉴于此，我们应该时刻关注内容管理系统、主题以及插件推出的更新。不给网络黑客任何攻击漏洞的机会，必要时可以设置自动更新。 强密码是对抗暴力攻击的最佳防御方法之一，网络黑客通常会用这种强力攻击方式来破解密码。更改足迹和软件默认的密码，设置最少8到10个字符的强密码是最好的，很多企业类的站点甚至设置了双重验证来提高网站的安全性。在密码中配合使用大写字母，小写字母，数字和符号的组合，我们也可以使用密码管理器来生成强密码，避免重复使用相同的密码。 SSL加密是确保在服务器之间安全传输登录信息和信用卡号的最可靠方法，即使你的数据落入坏人之手也无需担心，因为这对他们来说毫无用处。此类技术不仅适用于电子商务网站，只要涉及敏感信息，那么站点就需要它。 你也可以阅读下面文章了解更多关于SSL加密技术： WordPress中常见的4类SSL证书问题 关于SSL证书的八大误区（必知） IIS自动申请部署免费SSL证书服务 3个免费SSL证书监控和到期提醒网站 通过删除无用的文件和过时的插件来保持网站的秩序，这是必不可少的。如果你忽视了这些操作，可能会增加网络攻击的风险并降低网站的性能，后者可能会对网站在搜索引擎中的排名产生负面影响。此外，我们还需要优化网站的图片和视频等文件，尽可能从不包含恶意代码的可靠来源下载主题和插件。 虽然有很多免费工具可用于执行Web安全扫描，前面我们介绍了一款WordPress 安全插件WP Security，但它们无法揭露影响你站点的所有安全问题，最好的建议就是咨询具有多年经验的安全专家。同时，我们也可以通过不断的了解和学习一些基本的防御网络攻击的解决方案，面对不同的网站安全问题更好的分析和应对。