加強 WordPress 與伺服器的安全 (上)

引用 :  強化 WordPress，怎麼安全的管理網站 (上集)

現在一打開電腦、手機，隨便瀏覽一個網站，應該都是 WordPress 架設的吧，
普及率實在很高，筆者我所接觸的應該就有六成以上吧 ! 你呢 !
(或者你不知 XD，只要你覺得它長的好像喔，那可能就是了 :))

這邊我們來聊聊幾個 WordPress 架設管理心得，會針對以下幾個方向來討論：

• 個人電腦、安全的上網環境
• 伺服器主機
• WordPress 安全與外掛

首先個人電腦
這很重要的，我們要先確保自已的工具 (電腦) ，是乾淨的，沒有中毒，如果不確定的話，就安裝個防毒軟體，掃一下毒吧。

再來是上網環境
我們除了會在家裡、公司上網之外，可能喝咖啡的地方，吃漢堡的地方等等，無線網路(WIFI)，是要你信任的、安心的，不然我可能不敢上吧，如果不確認的話就盡量避免吧。
我們身邊的東西先保護到了，再來則是網站，今天我們的網站用 WordPress 架設，而那放 WordPress 的地方就是伺服器主機。

伺服器主機我們要作那些事情：

1. 加密連線 : 我們連 WordPress 的管理後台 (wp-admin) 要用 SSL (https) 連線，這為了要讓我們輸入帳號密碼後，跟伺服器之間的溝通是加密的，如果被攔截也無法得知正確的帳密。
2. 加密上傳連線 : 我們傳檔案到伺服器上的方式，可能會用 FTP，不過它並不怎麼安全，因為它沒加密，建議可用 SFTP，它是 SSH + FTP，你可以把它想成是加密的 FTP，也是可以使用 FTPS，它是 FTP + SSL，也是有加密的，不過 SFTP 與 FTPS 一般虛擬主機很少會提供的，那我們怎麼預防如果我們使用 FTP，就是密碼固定時間變更，及密碼用英文+數字+特殊符號+長度大於14。
3. 定期更新作業系統 (CentOS)、套件 (Apache / PHP / MySQL)。
4. 關閉 Apache 、PHP 的版本號，降低被用來攻擊已知的弱點，隱藏了最起麻降低被攻破的機會、拉長被攻破的時間。
5. 取消 PHP 可以執行系統指令。比如說 disable_functions =exec,passthru,proc_open,shell_exec,system,popen,dl
6. 取消 /tmp 可以被執行。/dev/sdaX /tmp ext3 defaults,nosuid,noexec,nodev 1 2

接著我們聊一下我們平常要作什麼

1. 隨時備份 : 假如被攻擊了( SQL injection 等等)，最起麻我還有被攻擊前的資料可以還原。
2. 隨時注意 WordPress 相關安全新聞 : 除了軟體要 update，我們自已也要掌握一些新知、訊息，知彼知己，事前預防。

假如我們的網站被攻陷了，我們要怎麼作

1. 如果不幸被攻陷了，盡可能取回控制權，關站、快點改掉密碼(後台、資料庫、FTP)。
2. 並檢查資料有沒有問題 (掃惡意程式等等)，或直接還原備份，再者請個專業人員協助你處理吧。
3. 事後檢討為何被入侵了，加強安全性。