为什么第三方对您客户的网站安全感兴趣

网站安全是一项严肃的工作。 这对大多数网页设计师来说都不是新闻。 这是我们在构建方式、使用的托管公司以及我们信任的软件方面必须考虑的问题。

虽然有很多最佳实践可供遵循，但保护网站是一项重大挑战。 抵御针对内容管理系统 (CMS) 的自动攻击、培训客户和不断更新软件都会造成损失。 我们可以降低风险，但不能完全降低风险。

多年来，安全流程主要在设计者、主机和客户之间进行。 但越来越多的其他第三方也对此产生了积极的兴趣。 网页设计师正被夹在中间。

如果这还没有影响到你，那可能只是时间问题。 因此，自由职业者和代理机构需要注意这一趋势。

让我们来看看正在发生的事情以及网页设计师如何做好准备。

谁参与？

诚然，第三方对网络安全的兴趣并不是全新的。 电子商务网站长期以来不得不处理 PCI 合规性问题。 政府法规针对的是用户隐私等领域——这也可能被视为安全问题。

然而，其他来源的投入似乎有所增加——尤其是保险业。 他们越来越热衷于与客户相关的网络安全。

需要保险的组织，例如企业和非营利组织，很可能也有网站。 正如他们将物理位置的福祉考虑在内一样，保险公司也开始以同样的方式看待网站。

例如，让我们考虑一个典型的实体零售店。 在向零售商提供保险之前，保险公司可能会考虑：

• 建筑物的结构完整性；
• 所售商品的种类；
• 零售商已采取的任何防盗安全措施；
• 员工人数；
• 年收入；

我们现在看到类似的担忧扩展到网站。

他们关注网站安全的哪些方面？

保护网站需要不断努力，并且涉及多个领域。 一些因素，例如网络托管和 SSL 证书，是相当普遍的。 但其他人可能取决于网站的构建方式。

这意味着静态 HTML 站点将具有与使用 WordPress 构建的站点不同的安全需求。 然后是集成第三方 API、数据收集和金融交易。 每个都提出了一个独特的挑战。

然而，不能保证保险公司会对这些细微差别采取现实的看法。 即使特定元素不适用于客户的网站，他们也可能会采用上述所有策略。

行业资深人士（也是我的一位同事）韦恩·凯斯勒（Wayne Kessler）认为，“我最担心的是，由于承包商（保险公司或安全顾问就是这样）指定的‘标准’对风险来说过大，因此会产生不必要的工作和成本。 . 网络保险公司的工作是销售最好不会有任何索赔的保险。”

他继续说道，“因此，他们可能希望网站尽可能地锁定，而无需适当考虑功能或成本的后果。 并非总是可以将登录访问限制在一个小的 IP 范围内。 站点仍然需要 SFTP。 客户可能需要能够将文件来回发送给他们的设计师。 工作流程、站点管理、用户功能——在谈论安全性时，这些都是不容忽视的，而不会大大降低网站的价值。”

给网页设计师的建议

通常情况下，网页设计师是我们的客户和第三方之间的联络人。 在这种情况下，保险公司会给客户一份网站安全注意事项的清单。 从那里开始，由我们来理解它们，实施可行的方法并进行有效的沟通。

有一些潜在的障碍。 最大的问题是您可能无法控制所有情况。 例如，某些安全措施可能需要网络主机或插件开发人员的合作。 他们是否遵守完全取决于他们。

潜在成本是另一个考虑因素。 实施某些项目所需的投资可能超出您的客户愿意或能够支付的金额。

Kessler 说，网页设计师需要在这个过程中保持循环，并指出“随着这些行业的发展，安全标准似乎正在迅速扩大，但这并不意味着这些标准应该适用于任何网站。 如果您不在您的网站上进行金融交易，或者您不在您的网站上保留用户/客户数据，则有一些建议不适用。 谨防‘过度满足’安全保护的需求。”

认识到许多人在网站安全中发挥作用也很重要。 根据 Kessler 的说法，“我们读到的每个关于身份盗用的故事都来自数据保护方面的漏洞。 网页设计师不想成为一个确定的差距。 同样，您也不想管理带有病毒、正在生成垃圾邮件或被盗版者锁定的站点。 有一些选择可以减轻这些风险。 网页设计师和网站所有者应该采取这些选择。”

关键是控制你能做什么，并确保你的客户了解所涉及的内容。

应对日益复杂的网络安全

好像网络安全还不是一个复杂的主题，保险公司和其他第三方的引入只会增加压力。 对于网页设计师来说，这似乎是我们肩上的又一个负担。

尽管如此，这仍然是我们不断发展的工作描述的一部分。 随着网站建设和维护的不断变化，我们有责任掌握最佳实践。 从某种意义上说，这种发展是这种演变的自然延伸。

值得庆幸的是，我们在与客户沟通和适应新技术方面所掌握的技能可以很好地为我们服务。 这些经历让我们做好了迎接这一新挑战的准备。