Web安全设计

人常说“行车不规范，亲人两行泪”，作为一个网站的所有者，我们必须充分重视和考虑自己网站的安全，以下是一些基本的安全措施和规则。

• Web服务器自身安全：安全加固、定期更新、防止异地登录，减少攻击面
• 内容安全：防止篡改、恶意灌水、发布不良信息的能力
• 后台管理安全：隐藏后台管理地址，后台权限大漏洞多，需要好好隐藏
• 敏感信息安全：在环境变量中保存敏感信息要慎重
• 内容伪造：设置合适恰当的蜜罐，比如 .env, phpinfo.php等
• 目录隔离：www目录和代码分离
• 信息隐藏：隐藏Web服务器、编程语言版本等
• 内容过滤：所有的用户输入都不可信，都要检查和过滤
• 账号安全：控制权限范围、双因素安全验证
• 数据安全：数据加密、本地备份、异地备份和定期测试恢复
• 监控告警：监控响应速度