引用 :  強化 WordPress,怎麼安全的管理網站 (上集)

現在一打開電腦、手機,隨便瀏覽一個網站,應該都是 WordPress 架設的吧,
普及率實在很高,筆者我所接觸的應該就有六成以上吧 ! 你呢 !
(或者你不知 XD,只要你覺得它長的好像喔,那可能就是了 :))

這邊我們來聊聊幾個 WordPress 架設管理心得,會針對以下幾個方向來討論:

  • 個人電腦、安全的上網環境
  • 伺服器主機
  • WordPress 安全與外掛

首先個人電腦
這很重要的,我們要先確保自已的工具 (電腦) ,是乾淨的,沒有中毒,如果不確定的話,就安裝個防毒軟體,掃一下毒吧。

再來是上網環境
我們除了會在家裡、公司上網之外,可能喝咖啡的地方,吃漢堡的地方等等,無線網路(WIFI),是要你信任的、安心的,不然我可能不敢上吧,如果不確認的話就盡量避免吧。
我們身邊的東西先保護到了,再來則是網站,今天我們的網站用 WordPress 架設,而那放 WordPress 的地方就是伺服器主機

伺服器主機我們要作那些事情:

  1. 加密連線 : 我們連 WordPress 的管理後台 (wp-admin) 要用 SSL (https) 連線,這為了要讓我們輸入帳號密碼後,跟伺服器之間的溝通是加密的,如果被攔截也無法得知正確的帳密。
  2. 加密上傳連線 : 我們傳檔案到伺服器上的方式,可能會用 FTP,不過它並不怎麼安全,因為它沒加密,建議可用 SFTP,它是 SSH + FTP,你可以把它想成是加密的 FTP,也是可以使用 FTPS,它是 FTP + SSL,也是有加密的,不過 SFTP 與 FTPS 一般虛擬主機很少會提供的,那我們怎麼預防如果我們使用 FTP,就是密碼固定時間變更,及密碼用英文+數字+特殊符號+長度大於14
  3. 定期更新作業系統 (CentOS)、套件 (Apache / PHP / MySQL)。
  4. 關閉 Apache 、PHP 的版本號,降低被用來攻擊已知的弱點,隱藏了最起麻降低被攻破的機會、拉長被攻破的時間。
  5. 取消 PHP 可以執行系統指令。比如說 disable_functions =exec,passthru,proc_open,shell_exec,system,popen,dl
  6. 取消 /tmp 可以被執行。/dev/sdaX /tmp ext3 defaults,nosuid,noexec,nodev 1 2

接著我們聊一下我們平常要作什麼

  1. 隨時備份 : 假如被攻擊了( SQL injection 等等),最起麻我還有被攻擊前的資料可以還原。
  2. 隨時注意 WordPress 相關安全新聞 : 除了軟體要 update,我們自已也要掌握一些新知、訊息,知彼知己,事前預防。

假如我們的網站被攻陷了,我們要怎麼作

  1. 如果不幸被攻陷了,盡可能取回控制權,關站、快點改掉密碼(後台、資料庫、FTP)。
  2. 並檢查資料有沒有問題 (掃惡意程式等等),或直接還原備份,再者請個專業人員協助你處理吧。
  3. 事後檢討為何被入侵了,加強安全性。
Related posts 相關文章
我現在的筆記方式
More...
WrodPress 20 年了,5 月時的活動影片
More...
加強 WordPress 安全
More...
WordPress 6.3 以後可能不支援 PHP 5,最低需求為 PHP 7.4
More...

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。