ServerZoo虛擬主機使用教學文件區 Home      會員列表      Register Now!
舊 2012-03-28, 11:18 AM   #1
Tech-SZ 的頭像
 
Tech-SZ
最高權限

預設 [分享]虛擬主機和程式安全和升級

親愛的ServerZoo 用戶 您好:

很多客戶程式是自行開發的,也有很多客戶會使用免費程式 例如drupal , discuz, joomla, wordpress..等程式架站於網站空間上,惟不論程式官方公告或客戶使用的程式就可能隨時會有程式漏洞,如果用戶沒有跟上修補,不論是使用美國虛擬主機或是台灣中華電信虛擬主機,網站就可能會被駭,例如這連結。溫馨提醒您

程式都需要時時升級和維護

您的網站程式多久沒更新了?世界技術的演變日新月異,今天程式的穩定並不保證明日不會有漏洞產生,所以不管是程式開發語言官方或是套裝程式官方單位,才會需要一直升級和更新程式。

客戶不管是自身開發的程式,或是免費程式例如 wordpress或joomla或discuz "更是" 常常需要作漏洞修補,客戶需要自行時時注意程式官方開發的技術更新進度,並自行更新網站程式,不然您很有可能哪一天突然就會發現網站被駭或出現各種問題。提醒您,網站程式為客戶自行選擇使用上傳,程式維護也為客戶的權利和義務,還請客戶自行或找專人處理相關事宜。

其他重要基本建議

*任何密碼千萬不要設得太簡單
這樣很容易被猜中!包含虛擬主機CPANEL密碼,EMAIL密碼,資料庫密碼,程式後台密碼,FTP密碼..等。很多客戶覺得自己公司又沒什磨好盜,惟現在駭客其實也不是真的手動或人力盜您密碼,也常常根本沒有針對性,很多都是用程式在網路世界不斷亂掃描亂猜,被猜中了會被冒用亂用或拿來發信,相當麻煩且危險!

*網站維護作業使用的個人電腦請保持乾淨
很多人的個人電腦常常拿來BT或下載檔案或常常瀏覽高風險的網站(舉例但不限於下 例如情色網站),這樣如果電腦被被駭了,駭客有可能會循著個人電腦內的記憶密碼,例如FTP軟體的記憶密碼,進入您的網站亂改您的東西。

* 檔案或資料夾不要設777

主機動物園的虛擬主機都不需要設777,您需要777的設成755一樣可以正常運作,這樣會比較安全

*不要的檔案請從主機上刪除
常見客戶裝了許多測試程式在主機上,測試完後就放著在那邊,然後哪天這些程式老舊時可能被藉此入網站植入轉碼,得不償失。例如常常看到用戶裝A和 B兩種BLOG程式測試,最後選擇用B,然後A的程式沒有刪除,過些時日後,因為網路演進,A公告升級或漏洞補丁但客戶一直沒有升級,而讓網站被植入轉碼或發信程式發垃圾信,造成困擾。

*不要裝不穩定或測試版的程式
還請大家盡力維護網站程式安全。主機動物園的主機也禁止客戶拿來當程式測試用途使用喔

*用Wordpress, Joomla, Discuz 或Xoops ..等免費架站程式然後又不常常升級常是被駭的原因
使用這些開放程式,然後又沒有常常升級,常是網站被駭的主因,因為這些程式"免費"且"開放" ,表示很容易被駭客發現相關程式碼漏洞進而駭入網站。我們常見許多客戶使用自行開發的程式(前提是程式品質良好),很少有被駭的問題。
使用免費開放程式,時時檢查官方有無程式漏洞公告並進而修補是客戶每天的重要責任和議題。 例如 wordpress的 Super cache/W3 Total cache 有漏洞,您有使用和修補了嗎?

提醒您:
通知升級非景泰的責任和義務,因為程式非我方出版,也非我方選擇或要求架設到客戶主機上。

一些中文wordpress安全性加強的方法建議
http://www.hongkiat.com/blog/hardening-wordpress-security/
Joomla 安全防護和建議
http://www.cmsart.net/online-course-free/joomla/57-how-to-avoid-joomla-hackers.html

*免費程式裝外掛或模板時請留意
很多外掛品質各異且更新度差,建議不要裝太多外掛,以免讓網站陷於被駭的危險。另外有些模板(例如WP系統就有過幾次),常有安全性疑慮,例如2014年年底的CryptoPHP的問題,還請小心使用。

*變更後台路徑和帳號不要設admin
請記得不要把後台路徑設成 admin 或administrator 登入帳號也不要設成admin ,這樣比較容易有被暴力破解或DDOS的問題

*不要心存僥倖或冒險
很多時候網站被駭與否,不可否認和運氣有關,有時候客戶會說我設密碼設的超簡單放了一年也沒有被駭阿,我用XXX好久了,第一次遇到,但實情是,客戶可能無法保證您下一秒網站會不會被駭。程式安全維護是苦力工作,和以前都沒問題無大關連,事實上,說以前沒問題(背後是否表示客戶可能都沒升級?),以後被駭的機率比別人都還大! 如果您真懷疑有多少人被駭,可以輕易到 google 打入 舉例 wordpress security ...等關鍵字即可見端倪,如果程式都不用升級,程式官方開發者何需不斷修補漏洞。

*有人惡意要駭我們網站?
現在網路時代,其實少有針對性的攻擊,一般都是駭客用自動程式(少有人真的用人力駭入) 在網路世界上不斷"隨機"掃描各個網站程式漏洞,如有發現漏洞時便隨機駭入,然後亂改網頁,植入轉碼或拿來當信跳板和釣魚信....等。所以客戶最好的方法是保持程式安全和穩定

*主機安全維護有包含程式安全維護嗎? 主機不是有安全防護?
A:主機防火牆負責主機端的安全維護,但不負責客戶程式安全維護,加上程式為客戶自行選擇,客戶需要自行維護和確保程式安全以免影響主機穩定。簡單舉例就 像您自行安裝在電腦系統下的程式例如flash, firefox, filezilla...等都常常需要更新一樣,絕不是您電腦有裝防毒或防火牆,您電腦內的程式都不用更新維護,不然那些廠商何必花心思更新程式呢。主機 再安全也無法防堵程式開扇窗(例如程式更新太慢或更新品質不良或更本無更新)讓人進來


*如果已經被駭,現在該怎麼辦?
http://forum.serverzoo.com/showthread.php?t=3551

其他相關
http://forum.serverzoo.com/showthread.php?t=3015

網站相關LOG取得以協助DEBUG或找問題

http://forum.serverzoo.com/showthread.php?t=3685

感謝您


此篇文章於 2015-08-21 05:21 PM 被 Tech-SZ 編輯。.
Show SignatureDisplay Signature 回覆時引用此篇文章
回覆

書籤

主題工具
顯示模式

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼

論壇跳轉


所有時間均為台北時間。現在的時間是 05:26 AM


Powered by vBulletin® 版本 3.8.0
版權所有 ©2000 - 2018,Jelsoft Enterprises Ltd.