虛擬主機空間的程式安全 及升級重要提醒與操作需知
虛擬主機空間其實很多人在販售,價格有高有低,你可能用較低的價錢就可以入手,單唯一不變,貴的都是在於後續的程式與維護。有很多使用者的程式是自行開發的,也有很多會使用免費式 例如drupal , discuz, joomla, wordpress..等程式架站於網站空間上,惟不論程式官方公告或客戶使用的程式,都可能隨時會有程式漏洞,如果用戶沒有跟上修補,不論是使用哪一間公司的虛擬主機空間,網站就可能會被駭,例如這連結。被駭一定是有哪裡需要修補或注意的地方,希望下述可以幫到有困擾的朋友最基本!最重要!-程式都需要時時升級和維護
網站程式多久沒更新了?世界技術的演變日新月異,今天程式的穩定並不保證明日不會有漏洞產生,所以不管是程式開發語言官方或是套裝程式官方單位,才會需要一直升級和更新程式。用戶不管是自身開發的程式,或是免費程式例如 wordpress或joomla或discuz “更是” 常常需要作漏洞修補,客戶需要自行時時注意程式官方開發者的技術更新進度,並自行更新網站程式,不然您很有可能哪一天突然就會發現網站被駭或出現各種問題。提醒您,程式維護也是用戶的權利和義務,還請留意隨時找專人處理相關事宜。
虛擬主機空間的程式安全 重要基本建議
- 任何密碼千萬不要設得太簡單
這樣很容易被猜中!包含虛擬主機CPANEL密碼,EMAIL密碼,資料庫密碼,程式後台密碼,FTP密碼..等。很多企業用戶都覺得自己公司又沒什磨好盜,但現在駭客其實也不是真的手動或人力盜您密碼,也常常根本沒有針對性,很多都是用程式在網路世界不斷亂掃描亂猜,衰一點被猜中了就會被冒用亂用或拿來發信,這相當麻煩且危險! - 網站維護作業使用的個人電腦請保持乾淨
很多人的個人電腦常常拿來BT或下載檔案或常常瀏覽高風險的網站(舉例但不限於下 例如情色網站),這樣如果電腦被被駭了,駭客有可能會循著個人電腦內的記憶密碼,例如FTP軟體的記憶密碼,進入您的網站亂改您的東西。
- 定期備份網站
不論主機代管商的系統備份如何周全,因系統備份當時資料與情況不一定符合您的需求,還是會建議定期於虛擬主機上備份網站文件和數據庫下載放置你的本地端留存喔,以免如遭遇攻擊或丟失資料時可以恢復。 - 檔案或資料夾不要設777
很多虛擬主機都不需要設777,您需要777的設成755一樣可以正常運作,這樣會比較安全。 - 不要的檔案請從主機上刪除
常見用戶裝了許多測試程式在主機上,測試完後就放著在那邊,然後哪天這些程式老舊時可能被藉此入網站植入轉碼,得不償失。例如常常看到用戶裝A和 B兩種BLOG程式測試,最後選擇用B,然後A的程式沒有刪除,過些時日後,因為網路演進,A公告升級或漏洞補丁但客戶一直沒有升級,而讓網站被植入轉碼或發信程式發垃圾信,造成困擾。
- 不要裝不穩定或測試版的程式
通常測試版本或beta版本後面都會因為發現有漏洞或不妥而陸續的再更新,而且密集度很高,可能更新後會和你的程式有衝突或是需要再修正。若您是屬於安裝後就置之不理的用戶,後續會非常危險(請詳看上面幾點),非常不建議安裝。
免費架站程式重要基本建議
- 用Wordpress, Joomla, Discuz 或Xoops ..等免費架站程式然後又不常常升級常是被駭的原因
使用這些開放程式,然後又沒有常常升級,常是網站被駭的主因,因為這些程式“免費”且”開放” ,表示很容易被駭客發現相關程式碼漏洞進而駭入網站。我們常見許多客戶使用自行開發的程式(前提是程式品質良好),很少有被駭的問題。使用免費開放程式,時時檢查官方有無程式漏洞公告並進而修補是客戶每天的重要責任和議題。 例如近期的 wordpress的外掛爆RCE漏洞,您有使用和修補了嗎?因為程式的選擇是用戶端可以自行決定的,所以維護絕對是用戶端需要操作的義務喔~
一些中文wordpress安全性加強的方法建議
http://www.hongkiat.com/blog/hardening-wordpress-security/
有關Joomla 安全防護和建議
http://www.cmsart.net/online-course-free/joomla/57-how-to-avoid-joomla-hackers.html - 免費程式裝外掛或模板時請留意
很多外掛品質各異且更新度差,建議不要裝太多外掛,以免讓網站陷於被駭的危險。另外有些模板(例如WP系統就有過幾次),常有安全性疑慮,例如之前2014年年底的CryptoPHP的問題,還請小心使用。 - 變更後台路徑和帳號不要設admin
請記得不要把後台路徑設成 admin 或administrator 登入帳號也不要設成admin ,這樣比較容易有被暴力破解或DDOS的問題。 - 不要心存僥倖或冒險
很多時候網站被駭與否,不可否認和運氣有關,有時候用戶會說我設密碼設的超簡單放了一年也沒有被駭阿,我用XXX好久了,第一次遇到,但實情是,客戶可能無法保證您下一秒網站會不會被駭。程式安全維護是苦力工作,和以前都沒問題實無大關連,事實上,說以前沒問題(背後是否表示客戶可能都沒升級?),以後被駭的機率比別人都還大! 如果您真懷疑有多少人被駭,可以輕易到 google 打入 舉例 wordpress security …等關鍵字即可見端倪,如果程式都不用升級,程式官方開發者何需不斷修補漏洞。 - 有人惡意要駭我們網站?
現在網路時代,其實少有針對性的攻擊,一般都是駭客用自動程式(少有人真的用人力駭入) 在網路世界上不斷”隨機”掃描各個網站程式漏洞,如有發現漏洞時便隨機駭入,然後亂改網頁,植入轉碼或拿來當信跳板和釣魚信….等。所以用戶最好的方法是保持程式安全和穩定。 - 主機商說安全維護這和包含程式安全維護一樣嗎? 主機不是有安全防護?
A:主機防火牆負責主機端的安全維護,但不負責客戶程式安全維護,加上網站程式為客戶自行選擇,客戶需要自行維護和確保程式安全以免影響主機穩定。簡單舉例就 像您自行安裝在電腦系統下的程式例如已經淘汰的flash不用說,這一定需要移除的,其他像是firefox、filezilla…等都常常需要更新一樣,絕不是您電腦有裝防毒或防火牆,您電腦內的程式都不用更新維護,不然那些廠商何必花心思更新程式呢。主機再安全也無法防堵程式開扇窗(例如程式更新太慢或更新品質不良或根本無更新)讓人駭入。
虛擬主機空間的程式安全 結論
虛擬主機防火牆負責主機端的安全維護,如使用免費的開放原始碼架站程式如 WordPress、Joomla、Discuz 或 Xoops, 若未定期升級或更新,很容易導致網站被駭。這是因為這些程式的原始碼公開,使得駭客能輕易發現並利用程式漏洞。相較之下,如是自行開發程式,網站被駭的風險相對較低,但仍然還是有可能會被駭客發現漏洞,故還是需要定期維護更新網站程式。
建議使用免費架站程式的網站管理者需時時留意官方的漏洞公告並盡快修補漏洞。另外盡可能不要安裝過多品質不穩定的外掛和模板,除此之外,強化密碼安全、避免使用簡單密碼及使用電腦安全和乾淨度(不要任意下載沒有來歷的檔案等),這些都是減少網站被駭風險喔。最後,最後網站管理者需要定期針對程式的安全更新+維護。
如果已經被駭,現在該怎麼辦?
[網路分享]網站被駭 / 火狐或GOOGLE瀏覽器顯示您的網站為有害網站
[網路分享]網站程式為何被駭?WordPress被駭後如何處理?瀏覽器顯示您的網站為有害詐騙網站
- 網站相關LOG取得以協助DEBUG或找問題
[虛擬主機教學]Cpanel控制台上如何查詢主機的相關LOG檔案並下載
延伸閱讀:WordPress自行架設網站,在Linux虛擬主機如何自行安裝WordPress架站教學
文章來源:https://wpoki.com
GIPHY App Key not set. Please check settings