主頁 / 網站制作教學 / 內容管理系統如何防黑客強化網站安全 – 需要技術層面和管理層面配合

內容管理系統如何防黑客強化網站安全 – 需要技術層面和管理層面配合

技術層面

對於內容管理系統 Content Management System (CMS) 大多數的攻擊是基由於插件漏洞,弱密碼,和過時的軟件版本。由於大多數 CMS 都是開放源碼,黑客並不難研究 CMS 可能出現的漏洞。利用 CMS 安全插件將這些可能漏洞隱藏,令黑客難以取得過多關於您網站的信息,讓黑客遠離敏感區域,如管理員登錄等等。CMS 安全插件大體功能包括:

  • 儀表盤,包括登錄,admin 和更改的網址
  • 特定時間段完全關閉登錄功能 (離開模式登錄)
  • 重命名為 admin 帳戶
  • 更改為1的用戶ID
  • 更改數據庫表前綴
  • 刪除登錄錯誤消息
  • 監測文件改變
  • 通過電子郵件通知管理員有關可能的黑客攻擊
  • ..

蠻力攻擊

最常見的一種網站入侵方法是蠻力攻擊 Brute Force Attack,就是利用編程的方法不斷以不同的密碼組合試圖以管理員身份登入後台,例如通過猜測你的密碼或使用字典中的詞,希望能成功登入。對應的方法是採用複雜的密碼,例如包抱大小寫字母,數字符號等作為密碼,長度至少8個字符。有很多自動化工具攻擊網站入侵用戶密碼,所以你應該小心設定用戶權限,不要隨便給予用戶管理員級別權限。有時只要是太多這樣的密碼嘗試,就足夠造成大量的網站負荷,並減慢網站的正常運作。一個有效的方法是引入某種形式的“鎖定”機制,如果密碼輸入連續錯誤幾次,自動鎖定對方的 IP 地址一段時間,即使對方輸入正確的密碼,仍然不許對方登入後台。

banned-host

404 錯誤攻擊

另一種常見的入侵是訪問不存在的頁面,黑客通過訪問指定的 URL 測試搜集你網站所用的平台,編程語言,軟件庫(例如JavaScript), 插件等等資料,而一般開放源碼的平台和插件都會定期公佈發現的漏洞並提供更生,但這些公佈的漏洞資料亦可被黑客利用來攻擊未完成漏洞更新的網站。404 錯誤有時亦被利用尋找可以發放圾垃評論的頁面。一般對應404錯誤的做法是對應從事不斷嘗試的IP 地址,自動鎖定對方的 IP 地址一段時間 ,甚到最後直接阻隔該 IP 地址訪問網站。

banned-host

監測文件修改機制

當你啟用”監測文件改變”選項後。如果不幸網站被黑客攻擊,安全控制模塊可以自動設置發送報警郵件給管理員。通知哪些文件已被更改或添加。你應該保護的重要文件,如改配置文件被修改。一種方法是確保這些文件具有適當的訪問權限。

file-change

無論你做了多小反入侵的設定,只是增加黑客入侵的難度,網站仍然可能被高手侵入,所以你 或你的寄存公司必需要定期為網站備份,以防萬一。

上述例子使用 WordPress 網頁內容管理系統作示範。不同的網頁內容管理系統有不同的具體操作程序。

管理層面

網站安全除了技術考慮,日常管理行為亦很重要。舉例:如果網站沒有使用 HTTPS 加密連線而管理人又隨便在公共網絡登入後台,這時管理員密碼很容易被有心人通過利用軟件監按 Wifi 網絡而得到。最好當然是升級網站執行 HTTPS 加密連線,否則應該避免在公眾地方隨便登入後台。

利用 FTP 也是一樣道理。應該儘量採用加密連線 “use explicit FTP over TLS if available”. 如果黑客拿到 FTP 帳戶就可以隨便改動網站內的程式,例如加入木馬。

ftp-secured

找網頁寄存公司要有每日網站掃描病毒功能。除些以外,當網站開通以後應該在 Google Search Console 登記。因為如果 Google 發現你網站中毒會第一時間通知你處理,而 Google 對病毒掃描的能力自然高於一般網頁寄存公司。

有時道高一呎,魔高一丈。萬一網站被入侵,只要寄存公司有為你做備份,就可以還原以前幾天內的版本。

了解更多網頁設計內容管理系統。

Facebook Comments

關於 WaiTing LI

香港SEO專家。專家地位並非紙上談兵自說自話而來,應該是基於由同業又或者權威的獨立第三方給予的評價。而SEO專家地位大致可以從 Google 給予你所競逐一大籃子競爭性高的關鍵字排名結果推斷出來。其他我關於宣傳推廣的文章亦取得很高排名。這方面搜尋引擎似乎亦給予我專家效應。

也查看

Google Analytics 教學 – 應用實例教你如何改善網站和和該做什麼

Google Analytic …

發表迴響

支持我們!

如果你喜歡這個網站,請點擊以下按鈕支持我們!