互联网公司建网站时最应该注意什么？



网站，是互联网时代的企业名片。对于互联网公司来说，没有网站是一件无法想象的事情。也因此，互联网公司在成立之初，首先需要做的事情就是搭建自己的官网。

那么，互联网公司应该搭建什么样的官网？换句话说，互联网企业官网应该具备哪些特点？

互联网公司搭建网站之前，需要想清楚建站目标。因为这个目标关系到网站的类型。比如，是想做企业展示站、产品推广站、网络商城站还是门户资讯站，需要提前想好。

网站类型按性质划分：有展示类、资讯类、服务类、交易类、政府类、资源类等。

按功能划分有：品牌型网站，展示型网站，营销型网站，电商型网站，门户型网站。

1.品牌型网站：

顾名思义，这种类型的网站目的就是为树立品牌形象，因此看上去很高端大气。特点是首页会突出设计展示企业品牌，通常会用一些华丽精美的大图和动感十足的flash动图为主，具有较强的互动性。

这类网站一般采用半定制或全定制，网站要求高，费用也高。适合中大型企业，上市公司等有高端品牌建设需求的企业。

2.展示型网站：

以展示产品、服务为主。这类网站的主要目的是放企业介绍、产品种类、相关服务案例等。比如，产品规格和型号方便潜在客户随时查看产品信息。

这类网站的特点是简单、朴实，没有多么华丽的外观，就是一个展示企业产品服务的简单网站。

3.营销型网站：

近年来企业不断追求和推崇的一类网站。通常将网站布局体现产品用户体验+搜索引擎优化规则的合理性，称为营销型网站建设。关于营销型网站，我其他文章中专门写过，感兴趣可以去我账号查看。

营销型网站建站的目的是直接获取销售线索或转化为订单，承担业务员角色，解决用户决策时的心理障碍。顺利促使目标客户留下销售线索或直接下单。这是营销型网站的优点，也是企业偏爱的原因。

4.电商型网站（网络商城）：

电商网站是针对做电商的企业而言的，带有相对应的在线下单功能，主要用来进行企业产品的在线销售。

这类网站中会有详细的产品介绍和服务信息。通常网站上会有大量的照片，还会有购物车和付款方式，主要是为了方便用户完成产品的购买。

5.门户型网站：

门户型网站相对来讲是专注以资讯来展示给访客用户的，分享企业资讯动态。门户型企业网站建设与电子商务型企业网站大不相同。





门户型企业网站通常是为特定的客户搭建的，为他们提供一个资讯交流的平台。通常这类企业网站上会有大量企业资源和企业服务信息，可以很好地将其与其他类型企业网站区别开。

想清楚建站目标以后，就可以根据目标去选择相对应的网络建站类型。但这就完了吗？当然不是。

想想互联网企业相对于传统企业来说，最大的不同是什么，是高度的数字化。这个数字化体现在营销数字化、商品数字化、门店数字化、供应链数字化等。

数字化意味着你的客户大部分来自线上或全部来自线上，用户是一条条数据，而不是像传统企业用户，是一个个看得见的人。产品呈现在线上，也是一条条数据，只有快递到家打开包裹，才能感受到它的重量。

既然是数据，就必须保障安全性。因此，网站安全才是互联网公司在建站时，首要考虑和必须解决的问题。

Facebook仅在2018年就发生了3次大规模用户数据泄露事件，一度成为互联网行业的焦点，几百亿美元市值因此瞬间蒸发。

老实说，这个代价都足以在地球上养活任何一支庞大精锐的安全团队，甚至直接收购几家规模比较大的安全公司都绰绰有余了。

目前全球互联网公司的趋势是越来越重视隐私，尤其网站安全领域，也重新被提升到了一个新的高度。

互联网企业目前面临的安全威胁和安全挑战，互联网公司的安全需求和安全目标，这些都是互联网企业在制定契合自身业务特性的网站安全规划时，需要重点考虑的问题。

从外部环境看，目前互联网整体的安全态势依然存在风险和挑战。企业网站每天都面临着来自各方面的安全威胁，网络攻击、木马病毒、安全漏洞等事件时有发生。企业敏感信息、数据泄露时刻威胁着企业的生存与发展。

一旦发生此类网站安全事件，会对企业正常运营、业务发展造成很大不良影响。加上近年来一些重大网络安全事件的频发，被媒体曝光后影响到了整个互联网行业的发展，使得越来越多的互联网企业意识到网站安全的重要性，进而对网站的安全性进行防护和升级。

那么，互联网企业面临的安全威胁和挑战主要有哪些？换句话说，常见的网站攻击方式有哪些？

比较常见的有：网络黑产、外部黑客、竞争对手、安全漏洞、网络攻击、数据泄露、敏感信息泄露等。

以黑客攻击为例。网站攻击的手段有很多，黑客惯用的手段有几下几种：

1.阻塞攻击

通过强占网站服务器中的存储空间资源，使网站服务器崩溃或资源耗尽，从而无法对外提供服务。这类攻击手段用的方法是拒绝服务攻击（Denial of Service，DOS），该方法是个人或多人利用网络协议组的某些工具，拒绝合法用户对目标系统或信息访问的攻击。

攻击成功后的结果是目标系统死机，端口处于停顿状态等。还可以在网站服务器中发送杂乱信息、改变文件名称、删除关键的程序文件等，进而扭曲系统的资源状态，使系统的处理速度降低。

2.文件上传漏洞攻击

网页代码中文件在上传过程中，由于上传路径变量过滤不严格，产生一些以某种形式存在的安全方面的脆弱环节，被称为网站上传漏洞。利用这个上传漏洞可以随意上传网页木马（如ASP木马网页），连接上传的网页就可以控制整个网站系统。

上传漏洞攻击方式对网站安全威胁极大，攻击者可以直接上传就ASP木马文件而得到一个WEBSHELL，进而控制整个网站服务器。

3.跨站脚本攻击

黑客在远程站点页面HTML代码中插入具有恶意目的的代码，当用户下载该页面，嵌入其中的恶意脚本就被解释执行。跨站脚本攻击方式最常见的有：通过窃取cookie、欺骗打开木马网页，或者直接在存在跨站脚本漏洞的网站中写入注入脚本代码，在网站挂上木马网页等。





4.弱密码的入侵攻击

这类攻击首先需要用扫描器探测到SQL账号和密码信息，进而获取预留密码，然后用SQLEXEC等攻击工具通过1433端口连接网站服务器，再开设一个系统账号，通过3389端口登录。

这种攻击还会配合WEBSHELL来使用。一般的ASP+MSSQL网站通常会把MSSQL连接密码写到一个配置文件当中，可以用WEBSHELL读取配置文件里面的预留密码，然后上传一个SQL木马来获取系统的控制权限。

5.网站旁注入侵

这种技术通过IP绑定域名查询的功能查出服务器上有多少网站，再挑选一些防护薄弱的网站实施入侵，拿到权限之后转而控制同一服务器上的其它网站。

6.其他脚本攻击

网站服务器的漏洞主要集中在各种网页中。由于网页程序编写不严谨，因此出现了各种脚本漏洞，如动图文件上传漏洞、cookie欺骗漏洞等都属于脚本漏洞。

除了这几种常见脚本漏洞外，还有一些专门针对某些网站程序出现的脚本程序漏洞，最常见的有用户对输入的数据过滤不严、网站源代码暴露以及远程文件包含漏洞等。

这些网站安全问题最直接的会导致用户流失、经济损失、声誉受损、公信力下降等糟糕后果。那么，该如何保障互联网公司网站的安全性呢？

仔细观察会发现，上述六种最常见的网站攻击方式中，大部分都与服务器直接相关或间接相关。因此，首先从服务器层面来说说，如何确保互联网企业网站安全。

针对服务器，存在两种情况，一种是租别人的服务器，一种是购买的大厂商的服务器（比如阿里云）。

一、租用不知名厂商服务器的情况下，网站管理员只能在网站开发方面多下功夫

1.一般的攻击主要是针对网站数据库，所以需要在数据库连接文件中添加相应的防攻击代码。比如，在检查网站程序时打开那些含有数据库操作的ASP文件，这些文件是需要防护的页面。在其头部加上相关的防注入代码，最后再把它们都上传到服务器上。

2.堵住数据库下载漏洞。换句话说就是不让别人下载数据库文件，并且数据库文件的命名最好复杂并隐藏起来，让别人认不出来。

3.网站中最好不要有上传和论坛程序，因为这样极易产生上传文件漏洞以及其他网站漏洞。

4.对于后台管理程序的要求，首先不要在网页上显示后台管理程序的入口链接，防止黑客攻击。其次是用户名和密码不能过于简单，而且需要定期更换。

5.需要定期查杀网站上的木马，使用专门查杀木马的工具，或使用网站程序集成的检测工具，定期检查网站上是否存在木马。以上除了数据库文件以外，还可以把网站上的文件都改成只读的属性，防止文件被篡改。

看到这里，有人就说了，又是加代码，又是堵漏洞，还要定期更换和检查。本来建网站就已经够累了！能不能让我省点心？有没有什么一劳永逸的操作？有，就是上面介绍的第二种，购买阿里云服务器。





二、如果是购买的阿里云服务器，安全问题则无需担心

早在2014年，阿里云就曾帮助部署在阿里云上的一家知名游戏公司，成功抵御全球互联网史上最大的一次DDOS攻击。攻击时间长达14个小时，攻击峰值流量达到每秒453.8Gb。

现如今，阿里云保护着中国超过40%的网站，防护全国50%的大流量DDOS攻击。每天成功抵挡50亿次攻击，全年帮助用户修复超过833万个高危漏洞。

阿里云服务器其他方面的性能优势就不多说了，仅安全可靠这方面就有其他服务商无可比拟的优势。我随便说两点，大家自行感受下：

1.提供虚拟防火墙、角色权限控制、内网隔离、防病毒攻击及流量监控等多重安全方案。免费提供 DDoS 防护、木马查杀、防暴力破解等服务，通过多方国际安全认证，ECS云盘支持数据加密功能等。

2.同地域多可用区（机房）可为用户提供超高的容灾能力。单实例可用性达99.975%，多可用区多实例可用性达99.995%，云盘可靠性达99.9999999%。可实现自动宕机迁移、快照备份，进一步保障企业服务和数据安全。

不管是在网站开发方面下功夫，还是花钱升级服务器，或多或少都存在一些瑕疵。前者对网站开发人员是一个不小的考验，时间上投入的也会比较多。后者会存在一笔额外的支出，对中小企业来说可能会是压力。





其实还有更简便的方法，就是直接找靠谱建站服务商搭建网站。比如，阿里云心选建站主打产品-云速成美站。不仅不需要自己建网站，就连买服务器的钱都省了。价格也不贵，基础版500元/年，标准版998元/年，企业版1998元/年。最关键的是网站很安全稳定。



 https://ac.aliyun.com/application/webdesign/sumei



想想自己建网站，光是招开发人员和设计人员，就得好几万，还不算其他成本。网站建成以后，租或者买服务器是一笔费用。网站推广又是另外一笔开销。这还不算后期为网站运营维护而付出的人力、时间成本。最关键的，建成的网站安全问题不一定能得到保障。

使用阿里云速成美站，不需要购买服务器，服务器是包含在建站费用里的。阿里云服务器（ECS）、负载匀衡(SLB)、云数据库（RDS）、云存储（OSS）、网络加速（CDN）等云计算资源集群，以SaaS的方式提供给客户，让每一个网页都能秒开，同时确保互联网公司网站安全与稳定。

投入最少，却能收获最大，我实在想不出比这更好的方法了。（配图来源于网络，侵删~）