前言
今天我們再來以工程師的角度聊一下,管理網站平常應該注意什麼 ?
一個網站,從我們註冊網址開始,請人設計網頁,租一個網站空間,把網頁資料放上去,網站可以正常瀏覽了,那再來呢 ?
很多人都忽略了,網站建置好後,還是需要去關心它、維護它的。其實網站管理也應該像我們每天會收取 Email、上 FB 一樣,把它排在每天的例行事物上。
我們可以作什麼 :
定期查看網站存取記錄
這是什麼 ? 網站存取記錄就是存著網站被瀏覽、被下載、被上傳、被存取哪些連結的記錄。
舉例來說,假如你的網站是 PHP + MySQL,主機通常就是 Linux + Apache 的環境,會有 access_log (範例一)、error_log (範例二) 這兩個檔案
範例一、記錄著被瀏覽了什麼連結,那個來源 IP 瀏覽了網站
1.1.1.1 – – [08/Sep/2013:10:10:38 +0800] “GET / HTTP/1.1″ 200 341 “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”
網站如果有帳密登入的功能,想觀察是否有有心人士再 Try 帳密,我們可以從 access_log 這個記錄檔查來源 IP 是不是自己的,也可以因此做一些防範 (密碼設強一點、定期更換、鎖來源 IP(自己可以瀏覽就行) 等等)。
範例二、記錄著被瀏覽的連結可能會有的錯誤訊息
[Sun Sep 08 06:16:58 2013] [error] [client 2.2.2.2] File does not exist: /var/www/html/robots.txt
error_log 是記錄著哪個連結找不到,或者網站的錯誤訊息,可能是 NOTICE 或 ERROR,有 ERROR 就需要注意一下並且有要修正的可能,否則將可能影響網站的正常運作。
定期檢查網頁檔案及內容
一般網站都會有圖片,那圖片怎麼來的,一是從網頁程式中上傳,另一種是從 FTP 上傳,無論是用何種方式上傳的,存放網站圖片的目錄 (比方說 : /upload/image) 當它裡面出現一個檔案 xx.php,你覺得有沒有問題呢?肯定是要檢查一下!存放網站圖片的目錄裡會有 xx.php ?不是要存 xx.jpg 或 xx.png 等等的檔案類型嗎?
這裡要探討的是,如果是從網頁程式上傳上來的,主要原因就是程式沒有過濾上傳的檔案類型 ,比方說 xx.php 就不應該被上傳,如果 xx.php 是惡意程式,一旦被執行了可能網站裡所有的資料(包括會員、交易資料) 都可能被看光光,甚至破壞網站、刪除資料等,所以這是很嚴重的漏洞,必須小心、並定期檢查。
定期更新程式
不管網站是不是請人設計的,你我可能會用一些常見的套裝軟體,像 WordPress、phpBB、Joomla,比如說 phpBB 常會因為版本過舊沒有更新而被利用漏洞塞了很多垃圾留言,資料庫的資料量因此增大,影響程式和資料庫的存取,增加主機的負載,這時最明顯的情況就是網站會變得很慢,所以網站的程式(尤其是用免費的套裝軟體架站的)應該要定期檢查更新才行。
定期修改密碼
這也是我們一直在強調的,攻擊其實是不分時間, 一年365天、8760個小時網站都有可能隨時遭受攻擊,像是最常見的密碼暴力破解。所以就算覺得累、嫌麻煩也一定要定期改密碼、更新程式,這才是保命之道。
基本安全掃描
網路上有一些免費、基本的網站掃描工具,可以拿它來對網站作掃毒的動作,確認網站有沒有惡意程式,或釣魚程式等等。
結論
以上是管理網站的基本功,好好的關心我們所架好的網站,不放過任何的蛛絲馬跡或徵兆,就有可能可以避免掉網站被入侵、被破壞的機會。
作者:Cross Fang
圖片來源:WIS 部落格