网站上线前必须做的10项关键安全检查

1. SSL/TLS证书部署

强制启用HTTPS协议，确保所有数据传输加密：

 使用Let's Encrypt免费证书示例
sudo certbot --nginx -d yourdomain.com

检查项：证书有效期、混合内容警告、HSTS头配置

2. 注入攻击防护

防范SQL注入、XSS等常见攻击手段：

• 使用预处理语句（Prepared Statements）
• 实施内容安全策略（CSP）
• 验证所有用户输入数据

// PDO防注入示例
$stmt = $pdo->prepare('SELECT  FROM users WHERE email = :email');
$stmt->execute(['email' => $userInput]);

3. 敏感文件清理

删除开发环境残留文件：

• .git目录
• README.md等说明文档
• 测试用账号和虚拟数据
• 备份文件（.bak, .old）

4. 目录权限配置

遵循最小权限原则：

 典型LAMP环境权限设置
chmod 750 /var/www//
chown www-data:www-data -R /var/www//

特别注意：禁止配置777权限

5. 防火墙配置

启用Web应用防火墙（WAF）：

• 配置ModSecurity规则
• 限制敏感路径访问（如/admin）
• 设置IP访问频率限制

6. 敏感信息保护

确保不暴露关键信息：

• 移除PHP错误回显（display_errors = Off）
• 加密存储数据库凭证
• 禁用目录列表（Options -Indexes）

7. 第三方组件审计

检查依赖库的安全状况：

 npm组件漏洞扫描
npm audit

更新所有组件到最新稳定版，移除未使用的依赖

8. 自动化安全扫描

使用专业工具进行深度检测：

• OWASP ZAP渗透测试
• Nikto漏洞扫描
• SSL Labs评分测试

9. 备份方案验证

确认备份系统正常工作：

• 数据库自动备份
• 文件系统快照
• 备份文件加密存储
• 定期恢复测试

10. 监控系统部署

建立安全事件响应机制：

• 异常登录检测
• 文件完整性监控（如Tripwire）
• 实时流量分析
• 设置安全告警阈值

最佳实践建议

建议在预发布环境进行完整的安全测试流程，包括：

1. 灰盒渗透测试
2. 负载测试中的安全验证
3. 多浏览器兼容性测试

定期复查OWASP Top 10安全风险，保持安全策略更新。