关于网站信息安全

以下是个人对信息安全的一点经验：
1、数据库每天凌晨自动备份与压缩，可减少备份体积。
2、配置好防火墙，重要端口尽量不对外开放。像MySql的3306端口，可使用SSH安全隧道进行连接。远程连接的22端口，若没有堡垒机的话，也可通过更改端口号方式，来规避一些风险。
SSH安全隧道配置：https://www.cnblogs.com/zxy2021/p/15534326.html
3、不使用低版本的软件，如Nginx、MySql、PHP，低版本软件可能存在大量漏洞或风险。应升级为稳定版本。
4、关注项目所使用框架是否有安全补丁，如ThinkPHP框架出现过“远程命令执行漏洞”。该漏洞可通过PHP脚本，将整站代码download到本地。
5、网站对外API，不应存在测试API，或者输出系统信息的调试接口。生产环境中，要关闭debug，网站出错应出现运维人员联系信息，而不是错误代码。
6、登录需验证动态码，动态码连续错误N次，可锁死30分钟；密码不能过于简单（默认密码进入系统时，应强制修改），且需要加密（md5也存在风险，应md5 + 盐加密）。
7、建议定期对系统进行检查测试，测试业务流程；核对业务、基础数据；测试与各API的连接情况(微信接口、短信接口)等；测试系统功能隐性问题；排查系统安全性隐患。
8、可与安全信息公司对接，建立等级保护，一般是国企与事业单位有这种需求。