第一个网站 - 安全问题

Question

我自学了 HTML/CSS 和一些 JavaScript 作为一种爱好，并且已经达到了我可以轻松构建一个干净简单的网站的程度。我工作的公司（我们不做任何与编码相关的事情）有一个非常过时的网站，所以我很自然地认为这是我第一个现场网站的机会。我在工作中联系了我的经理，看看我的第一个模型，他们很喜欢它，并希望我改造我们当前的网站。

他们对我作为新手的一个担忧是网络安全问题。从本质上讲，他们希望确保我构建的网站不会留下任何漏洞，让别人可以侵入我们的服务器、开始编辑我们的网站等。

当前网站没有交互式组件。我打算只用 HTML 和 CSS 来构建这个网站，并且可能会在以后学习一些进步后添加一些 JavaScript。网站上的任何地方都没有帐户登录或输入个人信息的区域。

我的问题归结为 - 我可以做些什么来确保我建立的网站不会让我们的公司容易受到攻击？我在 Stack Overflow 和其他网站上进行了大量搜索，但我不确定是否找到了正确的信息。

可能有所作为的细节：

• 我们公司的网站是通过 godaddy.com 托管的
• 我们的网站目前在 Wordpress 上，但我可能不会在新网站上使用 Wordpress

非常感谢您的帮助！

Answer 1

因为不应该与服务器直接交互，例如 PHP 和 AJAX 只有 HTML CSS 和 js 应该没有安全问题，因为 js 和 HTML 不能编辑/删除/读取服务器文件，只有服务器端编程可以.最终你可能想投资 PHP 没有 PHP 或 AJAX 几乎没有网站是完整的。以我为例，我以前只使用 HTML、CSS 和 js。然后我想做更多.. 将表单答案记录到文件中，根据查询字符串显示不同的页面。这些事情在只有 HTML、CSS 和 js 的环境中几乎是不可能的。我还建议至少获得免费的云闪现保护。他们提供免费的共享托管通配符 SSL 和免费的 DDOS 保护，授予您可能想要投资多一点的企业，但免费将是一个很好的起点

您也可以花钱请人来测试您公司的漏洞，例如 OurMine。一个合法的黑客组织..你付钱给他们来测试你的安全性，他们就是这样做的。 （他们声称他们不会记录他们得到的任何东西）否则可能存在您可能不知道的漏洞

Answer 2

当您只关心 AJAX 调用时，我会为您提供以下关于“来自 AJAX 的函数访问规则”的建议。

通过添加“_”作为函数名称的前缀，我们可以防止从 Web 公开调用函数。当我们需要仅通过 AJAX 访问某些特定功能时，这是最佳实践。

请参考我在其他问题中给出的答案。 [Website Security: How to learn?