引用 : 強化 WordPress,怎麼安全的管理網站 (上集)
現在一打開電腦、手機,隨便瀏覽一個網站,應該都是 WordPress 架設的吧,
普及率實在很高,筆者我所接觸的應該就有六成以上吧 ! 你呢 !
(或者你不知 XD,只要你覺得它長的好像喔,那可能就是了 :))
這邊我們來聊聊幾個 WordPress 架設管理心得,會針對以下幾個方向來討論:
- 個人電腦、安全的上網環境
- 伺服器主機
- WordPress 安全與外掛
首先個人電腦
這很重要的,我們要先確保自已的工具 (電腦) ,是乾淨的,沒有中毒,如果不確定的話,就安裝個防毒軟體,掃一下毒吧。
再來是上網環境
我們除了會在家裡、公司上網之外,可能喝咖啡的地方,吃漢堡的地方等等,無線網路(WIFI),是要你信任的、安心的,不然我可能不敢上吧,如果不確認的話就盡量避免吧。
我們身邊的東西先保護到了,再來則是網站,今天我們的網站用 WordPress 架設,而那放 WordPress 的地方就是伺服器主機。
伺服器主機我們要作那些事情:
- 加密連線 : 我們連 WordPress 的管理後台 (wp-admin) 要用 SSL (https) 連線,這為了要讓我們輸入帳號密碼後,跟伺服器之間的溝通是加密的,如果被攔截也無法得知正確的帳密。
- 加密上傳連線 : 我們傳檔案到伺服器上的方式,可能會用 FTP,不過它並不怎麼安全,因為它沒加密,建議可用 SFTP,它是 SSH + FTP,你可以把它想成是加密的 FTP,也是可以使用 FTPS,它是 FTP + SSL,也是有加密的,不過 SFTP 與 FTPS 一般虛擬主機很少會提供的,那我們怎麼預防如果我們使用 FTP,就是密碼固定時間變更,及密碼用英文+數字+特殊符號+長度大於14。
- 定期更新作業系統 (CentOS)、套件 (Apache / PHP / MySQL)。
- 關閉 Apache 、PHP 的版本號,降低被用來攻擊已知的弱點,隱藏了最起麻降低被攻破的機會、拉長被攻破的時間。
- 取消 PHP 可以執行系統指令。比如說 disable_functions =exec,passthru,proc_open,shell_exec,system,popen,dl
- 取消 /tmp 可以被執行。/dev/sdaX /tmp ext3 defaults,nosuid,noexec,nodev 1 2
接著我們聊一下我們平常要作什麼
- 隨時備份 : 假如被攻擊了( SQL injection 等等),最起麻我還有被攻擊前的資料可以還原。
- 隨時注意 WordPress 相關安全新聞 : 除了軟體要 update,我們自已也要掌握一些新知、訊息,知彼知己,事前預防。
假如我們的網站被攻陷了,我們要怎麼作
- 如果不幸被攻陷了,盡可能取回控制權,關站、快點改掉密碼(後台、資料庫、FTP)。
- 並檢查資料有沒有問題 (掃惡意程式等等),或直接還原備份,再者請個專業人員協助你處理吧。
- 事後檢討為何被入侵了,加強安全性。
留言