随着2016美国总统初选季的展开，各党派参选人纷纷加入用网站笼络选民的大军。虽然所有参选人都有自己的网站，那么若从安全角度出发，谁的竞选站点是最安全的呢？

安全评估公司SecurityScorecard最近对特朗普、克鲁兹、克林顿、桑德斯和卡西奇的竞选网站做了分析对比。研究结果表明：共和党领跑者唐纳德·特朗普的网站在安全性方面傲视群雄，民主党领跑人希拉里·克林顿还需要做很多工作才能赶得上。(小编注：希拉里的安全意识的确很差，比如去年让她陷入麻烦的公用邮箱私用)

SecurityScorecard专业提供对各类组织的安全评估服务，采用多种对外属性进行衡量。今年2月，该公司抛出了一项第三方供应商安全状况评估的新业务。很多组织面临的风险，其实通常不局限在他们自己的基础设施中，而是存在于第三方供应商引入的共享组件中。

该公司首席研究官埃德表示，SecurityScorecard对总统参选人网站的分析并未使用任何入侵渗透测试，只是建立在被动分析上的，仅仅观测了网站的IP地址和审查了网站源代码。

很多现代网页浏览器依然保有让任何用户仅仅通过点击“查看源代码”就能顺利获得站点源码的功能。通过审查这些代码，发现站点所用的内容管理系统(CMS)和插件不是什么难事。

总统参选人们的网站展现出了一些有趣的共同点。特朗普、克鲁兹和桑德斯都选择了安全厂商CloudFlare提供的分布式拒绝服务(DDoS)防护和Web应用防火墙(WAF)。卡西奇和克林顿的网站都托管在亚马逊Web服务上，且二者都没有部署DDoS/WAF防护。

No.1 唐纳德·特朗普

特朗普的网站采用了一款内容管理系统，且配置良好，没有暴露出管理界面。另外，贝宝(PayPal)的BrainTree支付处理系统，以及共和党VictoryParty.com支付处理器也应用到了特朗普的网站上。

这并不是说特朗普的网站就无懈可击，但从外部观察，他的网站确实运作良好。

最近几周，激进黑客组织“匿名者(Anonymous)”公开宣称要对特朗普的竞选开战——虽然到现在也没能成功拿下特朗普的网站。酒店网站倒是遭到了DDoS攻击，但特朗普的主要竞选网站尚未经历过任何宕机时间。抵挡“匿名者”组织潜在攻击之功，恐怕要记在CloudFlare对网站防护的增强上。虽然上周左右访问donaldjtrump.com站点的人可能会感受到一点点的延迟，但网站依然坚挺，没有被拿下。

No.2 泰德·克鲁兹

排名第二安全的竞选网站是tedcruz.org，归属克鲁兹。DDoS和WAF防护与特朗普的网站相同，都采用了CloudFlare。但内容管理系统并没有采用特朗普所用的Drupal，而是选择了开源的WordPress。Drupal的管理界面是隐藏了的，WordPress则在某种程度上跟暴露在外也没什么区别。而且，克鲁兹所用的特定WordPress模板主题也很好认出——Kleo。这些都会带来潜在的安全风险。对攻击者而言，拿下克鲁兹的网站，不过是坐等漏洞出现而已。

No.3 & 4 伯尼·桑德斯 希拉里·克林顿

民主党一边，桑德斯的berniesanders.com要优于克林顿的hillaryclinton.com——虽然二者在整体安全性上都落后于特朗普和克鲁兹的网站。桑德斯的防护组合是CloudFlare和WordPress CMS。不过，与克鲁兹一样，桑德斯也没有隐藏起管理页面。

克林顿的网站与克鲁兹和桑德斯的都不一样，没有采用开源CMS，而是用了自定义的内容管理。不用开源平台未必会让她的网站更不安全，但确实会引起一些安全方面的顾虑。

如果开源CMS合理配置，那唯一会遭到的攻击就只剩真正的零日漏洞利用了。但对自定义的站点来说，有更多的组件需要仔细检查。

商业CMS，比如开源的Drupal和WordPress应用，有庞大的社区做后盾，常年都有一大帮人在检查安全问题，改进应用功能。