為什麼第三方對您客戶的網站安全感興趣

網站安全是一項嚴肅的工作。 這對大多數網頁設計師來說都不是新聞。 這是我們在構建方式、使用的託管公司以及我們信任的軟件方面必須考慮的問題。

雖然有很多最佳實踐可供遵循，但保護網站是一項重大挑戰。 抵禦針對內容管理系統 (CMS) 的自動攻擊、培訓客戶和不斷更新軟件都會造成損失。 我們可以降低風險，但不能完全降低風險。

多年來，安全流程主要在設計者、主機和客戶之間進行。 但越來越多的其他第三方也對此產生了積極的興趣。 網頁設計師正被夾在中間。

如果這還沒有影響到你，那可能只是時間問題。 因此，自由職業者和代理機構需要注意這一趨勢。

讓我們來看看正在發生的事情以及網頁設計師如何做好準備。

誰參與？

誠然，第三方對網絡安全的興趣並不是全新的。 電子商務網站長期以來不得不處理 PCI 合規性問題。 政府法規針對的是用戶隱私等領域——這也可能被視為安全問題。

然而，其他來源的投入似乎有所增加，尤其是保險業。 他們越來越熱衷於與客戶相關的網絡安全。

需要保險的組織，例如企業和非營利組織，很可能也有網站。 正如他們將物理位置的福祉考慮在內一樣，保險公司也開始以同樣的方式看待網站。

例如，讓我們考慮一個典型的實體零售店。 在向零售商提供保險之前，保險公司可能會考慮：

• 建築物的結構完整性；
• 所售商品的種類；
• 零售商已採取的任何防盜安全措施；
• 員工人數；
• 年收入；

我們現在看到類似的擔憂擴展到網站。

他們關注網站安全的哪些方面？

保護網站需要不斷努力，並且涉及多個領域。 一些因素，例如網絡託管和 SSL 證書，是相當普遍的。 但其他人可能取決於網站的構建方式。

這意味著靜態 HTML 站點將具有與使用 WordPress 構建的站點不同的安全需求。 然後是集成第三方 API、數據收集和金融交易。 每個都提出了一個獨特的挑戰。

然而，不能保證保險公司會對這些細微差別採取現實的看法。 即使特定元素不適用於客戶的網站，他們也可能會採用上述所有策略。

行業資深人士（也是我的一位同事）韋恩·凱斯勒（Wayne Kessler）認為，“我最擔心的是，由於承包商（保險公司或安全顧問就是這樣）指定的‘標準’對風險來說過大，因此會產生不必要的工作和成本。 . 網絡保險公司的工作是銷售最好不會有任何索賠的保險。”

他繼續說道，“因此，他們可能希望網站盡可能地鎖定，而無需適當考慮功能或成本的影響。 並非總是可以將登錄訪問限制在一個小的 IP 範圍內。 站點仍然需要 SFTP。 客戶可能需要能夠將文件來回發送給他們的設計師。 工作流程、站點管理、用戶功能——在談論安全性時，這些都是不容忽視的，而不會大大降低網站的價值。”

給網頁設計師的建議

通常情況下，網頁設計師是我們的客戶和第三方之間的聯絡人。 在這種情況下，保險公司會給客戶一份網站安全注意事項的清單。 從那裡開始，由我們來理解它們，實施可行的方法並進行有效的溝通。

有一些潛在的障礙。 最大的問題是您可能無法控制所有情況。 例如，某些安全措施可能需要網絡主機或插件開發人員的合作。 他們是否遵守完全取決於他們。

潛在成本是另一個考慮因素。 實施某些項目所需的投資可能超出您的客戶願意或能夠支付的金額。

Kessler 說，網頁設計師需要在這個過程中保持循環，並指出“安全標準似乎隨著這些行業的發展而迅速擴大，但這並不意味著這些標準應該適用於任何網站。 如果您不在您的網站上進行金融交易，或者您不在您的網站上保留用戶/客戶數據，則有一些建議不適用。 謹防‘過度滿足’安全保護的需求。”

認識到許多人在網站安全中發揮作用也很重要。 根據 Kessler 的說法，“我們讀到的每個關於身份盜用的故事都來自數據保護方面的漏洞。 網頁設計師不想成為一個確定的差距。 同樣，您也不想管理帶有病毒、正在生成垃圾郵件或被盜版者鎖定的站點。 有一些選擇可以減輕這些風險。 網頁設計師和網站所有者應該採取這些選擇。”

關鍵是控制你能做什麼，並確保你的客戶了解所涉及的內容。

應對日益複雜的網絡安全

好像網絡安全還不是一個複雜的主題，保險公司和其他第三方的引入只會增加壓力。 對於網頁設計師來說，這似乎是我們肩上的又一個負擔。

儘管如此，這仍然是我們不斷發展的工作描述的一部分。 隨著網站建設和維護的不斷變化，我們有責任掌握最佳實踐。 從某種意義上說，這種發展是這種演變的自然延伸。

值得慶幸的是，我們在與客戶溝通和適應新技術方面所掌握的技能可以很好地為我們服務。 這些經歷讓我們做好了迎接這一新挑戰的準備。