自從上次介紹了限制WordPress後台登入,倒是讓香腸擋了不少想要惡意入侵的駭客,不過這樣的安全仍然是不夠的,必須再搭配其他的防護措施來讓網站整體安全更高一層樓。目前要進行網站安全防護的方式都是透過Apache,利用.htaccess去對網站做設定、限制檔案存取,強化WordPress網站整體安全,不過使用者也別忘了要設定強一點的密碼。
接下來香腸要介紹的主要是透過.htaccess對網站做一個基礎的強化,保護wp-admin目錄、限制wp-includes目錄存取、防垃圾留言、禁止目錄索引、限制wp-config.php存取權限等等,算是很基礎的網站資安防護,不論你網站是否遭受攻擊,其實這些都是必要性的安全防護,有做防護不代表被不會被駭客入侵,而是可以是多一層保障、降低一些危險因子。
最近身旁周遭不少人的WordPress都被駭客入侵,但是入侵後他只針對管理者帳號把你改成 admin 、密碼改成其他的,頂多改動網站的index.php,告訴你他入侵你了。看起來這樣的駭客只是要練一下入侵技術而已,並不是要偷走資料,不過這樣的問題反倒是讓很多使用者造成了困擾,現在我們可以透過一苦安全防護外掛「Limit Login Attempts 」來限制後台登入存取。
透過「Limit Login Attempts」這款外掛來防護後台的好處是可以封鎖試圖對你WordPress後台登入介面嘗試登入者,進行帳號、密碼錯誤次數的管制,使用者您可以決定當帳號、密碼輸入幾次過後若仍是錯誤,可以進行IP封鎖,限制時間,例如設定幾分鐘或是幾個小時之後才可以再次回來測試登入,若仍達到一定的錯誤次數,將封鎖再久一點。另外使用者也可以記錄有嘗試登入出現幾次錯誤可以發信通知、同時外掛管理介面中也會記錄該員IP。
密碼的安全性常常很容易被忽略,因為大家都會認為密碼好記就可以了,往往使用簡易的密碼來使用,但卻忽略資訊安全的問題。想擁有一個安全可靠的密碼嗎?試試看「Random Key Generator」這個密碼產生器,拜訪此網站時,他會將各類型的密碼顯示於網站上,選擇您要使用的密碼就可以了,網頁只要重新整理,密碼就會變不一樣囉!
安全密碼可以說是近年來大家一直在強調的,因為是最容易做到的自我保護一環。密碼使用的訣竅就是避免使用自己的生日、電話、手機等等,因為這些資料很容易被取得,隨便搭配一下,誰都可以猜出別人的密碼,有效又安全的密碼最好是英文、數字及符號做搭配,另外英文字母最好是大小寫都有這樣更是加強了密碼強度,使駭客不易破解密碼。
網站的安全性,是每一位站長都必須要注意的,除了平時不用來路不明的外掛或佈景之外,也別忘了注意網站的帳號、密碼之安全性。因此,我們可以透過「WordPress File Monitor Plus」這個外掛來協助我們即時對網站做監控,只要檔案被竄改、被植入不明語法,都可以最即時的通過Email通知站長,協助發生問題的站長們可在第一時間解決問題。
相信大家應該有時候會看到,有一些使用WordPress架設的網站,似乎被偷偷植入木馬、惡意程式結果造成網站出問題,進而可能造成Google搜尋的封鎖等問題。因此我們必須提高警覺性,隨時注意網站的資安問題,否則造成問題除了自己恐慌,也會造成訪客的恐慌,能夠即時的監控網站檔案的狀況,較能預防這些意外狀況。
大部分的電腦都有安裝防毒軟體,有人安裝免費也有人安裝付費軟體。形形色色的防毒軟體,你該怎麼挑選呢?以功能面挑選?以軟體介面挑選?以價格挑選?這些都列入大家的考量範圍內,也因為這樣,所以防毒軟體以免費的最夯,付費則被排在後頭。關於付費防毒軟體這部分,香腸有用過了電腦內附的、活動贈送都有,目前則是使用Norton Internet Security 2012做為電腦的防護工具。
之所以會用Norton Internet Security 2012,一個原因是因為香腸有參加封測活動,封測過後廠商有送一年份的可以使用,本來不打算用,但是後來想說體驗看看也無法,因此香腸就安裝了。使用過後其實對這個防毒軟體感覺還不錯,不太吃資源,防護功能也非常即時,最喜歡的就是它隨時都可以自動更新病毒碼,讓電腦的病毒碼永保最新。
每當暑假過後,各家防毒軟體就紛紛推出下一個年度的新版本,當然推出時總是會有一些活動讓一些使用者可以參與,像是封測、免費試用等等,目前網路上還有諾頓的新版本可以使用,提供30天的繁體中文試用版,有諾頓防毒2011和諾頓網路安全大師2011兩種版本。
這次新版的諾頓防毒版面設計比起以前來說,確實減少了不少的繁雜畫面,整個介面變得簡單,各項功能的開啟關閉都很清楚,跳出問題的框框也很平民化,比較不會有太多的專業術語,對於使用者來說是和善了許多。另外他還有個諾頓雲端鑑識信譽技術可以防護電腦要執行的程式,如果遇到可疑程式則會提醒您是否該真的要執行?
網頁的META部分是紀錄一些網站的基本資料,像是網站名稱、網站簡介、作者、網頁編碼、使用的網頁程式等等,都會記錄在此。不過如果你網站是自己寫的還好,因為沒有人知道你的網站架構是什麼,但若是使用網路上的一些免費開放原始碼的套裝程式,那版本號最好隱藏起來會比較安全。因為這些架站原始碼都是公開的,任何人都知道其架構,如果發現某版本有漏洞,你很可能就被盯上。
因為套裝程式更新快,但有些使用者一時半刻無法立刻更新到最新版本,可能有事情沒時間或是新版不能適應,想要使用舊版,但偏偏舊版又有問題的話,若又剛好在網頁原始碼的META部分顯示程式版本,很可能成為下手的目標,因此把版本號隱藏起來倒是可以避免被盯上,算是可稍微保護網站不要太快被注意到XD。