# 企业网站被黑很严重,可能会引发公安机关介入,切记做好网站安全维护
我做网站安全维护这些年,跟客户说得最多的一句话就是,你的网站不是没人盯,只是你不知道被人盯上了。
去年帮一家长沙本地的企业处理网站事故,情况是这样的。他们公司的网站被人塞了大量赌博网站的链接,藏得很深,表面上看不出来,但Google搜他们公司名字的时候底下关联出来一堆乱七八糟的东西。他们老板一开始还以为是百度出了问题,后来才发现是自己网站早就被人动了手脚。
清理完之后我提醒他赶紧去备案系统查一下有没有异常,结果还真查到了。因为他们网站是做了ICP备案的,那些赌博链接被网安系统监测到了,他们收到了整改通知。好在发现得还算及时,提交了整改报告说明了情况,没有进一步处罚。但光是配合调查、写材料、走流程就折腾了大半个月,老板那段时间电话都不敢接,生怕是公安打来的。
国家对网络安全这块管得越来越严了,网站被黑不是你一个人的事。你的网站有备案信息,公安机关是有备案数据的,一旦你的网站上出现了违法内容,不管你是主动放的还是被黑客植入的,你作为网站的主办者是有责任的。《网络安全法》写得很明白,网络运营者应当采取技术措施防止网络数据泄露和被窃取、篡改,你没做到就是你的问题。
我碰到过更严重的一次,一家做外贸的公司网站被黑以后,黑客用他们的网站发了大量的钓鱼邮件,伪装成他们的公司去骗海外客户打款。有国外的客户真的上当了损失了钱,报了警以后跨国追查查到了这家公司的服务器。虽然最后证明不是他们干的,但调查过程中公司的银行账户被临时冻结了一段时间,业务全部停摆。老板后来跟我说那几天觉都睡不着,不是心疼钱,是怕自己莫名其妙成了嫌疑人。
你说这冤不冤?确实冤,但法律看的是结果不是动机,你没有尽到安全维护的义务就是存在过失。
那网站被黑到底会有哪些后果呢?我跟你说几个实际会碰到的。
最轻的就是网站打不开或者内容被篡改,影响公司形象,客户看了觉得你不靠谱。这已经算好的了,损失的是面子。稍微严重点的,你的客户数据被人偷了,邮箱、电话、询盘记录全泄露了,竞争对手拿着你的客户信息去抢单。再严重的,网站被用来传播违法信息被公安机关约谈整改,该罚款罚款,该关站关站。最要命的就是我刚才说的那种,你的网站被当成犯罪工具,你虽然不知情但要配合调查,业务停摆都是小事,搞不好还要承担连带责任。
你可能会想我又不是大公司,黑客盯我干嘛。这个想法我听过太多了。黑客攻击网站大部分时候不是因为你有多大价值,而是因为你的网站有漏洞好下手。他们用自动化工具在网上批量扫描,发现哪个网站有漏洞就直接进去搞破坏或者利用。你的网站在他们眼里跟路边没锁的自行车一样,不是专门挑你,是顺手牵羊而已。
那怎么办?说实话网站安全这个事没有一劳永逸的办法,但做好几件事能让你的风险降低很多。
程序要保持更新。不管你的网站用的是WordPress、织梦还是别的什么系统,有新版本就及时更新,大部分更新都是在修安全漏洞。密码要设得复杂一些,别用admin123或者公司名字加生日这种,后台地址也最好改一下默认的。服务器要定期打补丁,有条件的话装个防火墙或者安全插件。数据要定期备份,万一真被黑了至少能恢复,不至于几年的积累一夜清零。
这些事情听起来不难,但据我观察长沙大量的中小企业网站没有人管这个。网站做完了往那一放就是三五年,程序版本老旧、安全补丁没打、密码从来没改过。我经常跟客户开玩笑说你给你家门都装了三道锁,公司的网站大门却敞开着,门里还放着你所有客户的资料。
如果你确实没有专人管这个事,花点小钱找专业的安全维护公司定期检查一下也行。一年几千块的事,比起被黑以后的损失九牛一毛。在长沙做这个服务的团队不算少,找靠谱的不难。