強化 WordPress,怎麼安全的管理網站 (上集)

強化 WordPress,怎麼安全的管理網站 (上集)

現在一打開電腦、手機,隨便瀏覽一個網站,應該都是 WordPress 架設的吧,普及率實在很高,筆者我所接觸的應該就有六成以上吧 ! 你呢 ! (或者你不知 XD,只要你覺得它長的好像喔,那可能就是了 :))

這邊我們來聊聊幾個 WordPress 架設管理心得,會針對以下幾個方向來討論:

  • 個人電腦、安全的上網環境
  • 伺服器主機
  • WordPress 安全與外掛

強化 WordPress,怎麼安全的管理網站 (上集)

(圖片來源 google)

首先個人電腦

這很重要的,我們要先確保自已的工具 (電腦) ,是乾淨的,沒有中毒,如果不確定的話,就安裝個防毒軟體,掃一下毒吧。

再來是上網環境

我們除了會在家裡、公司上網之外,可能喝咖啡的地方,吃漢堡的地方等等,無線網路(WIFI),是要你信任的、安心的,不然我可能不敢上吧,如果不確認的話就盡量避免吧。
我們身邊的東西先保護到了,再來則是網站,今天我們的網站用 WordPress 架設,而那放 WordPress 的地方就是伺服器主機

 

伺服器主機我們要作那些事情:

1.加密連線

我們連 WordPress 的管理後台 (wp-admin) 要用 SSL (https) 連線,這為了要讓我們輸入帳號密碼後,跟伺服器之間的溝通是加密的,如果被攔截也無法得知正確的帳密。

2.加密上傳連線

我們傳檔案到伺服器上的方式,可能會用 FTP,不過它並不怎麼安全,因為它沒加密,建議可用 SFTP,它是 SSH + FTP,你可以把它想成是加密的 FTP,也是可以使用 FTPS,它是 FTP + SSL,也是有加密的,不過 SFTP 與 FTPS 一般虛擬主機很少會提供的,那我們怎麼預防如果我們使用 FTP,就是密碼固定時間變更,及密碼用英文 + 數字 + 特殊符號 + 長度大於 14

3.定期更新作業系統 (CentOS)、套件 (Apache / PHP / MySQL)

4.關閉 Apache 、PHP 的版本號,降低被用來攻擊已知的弱點,隱藏了最起麻降低被攻破的機會、拉長被攻破的時間。

5.取消 PHP 可以執行系統指令。比如說 disable_functions =exec,passthru,proc_open,shell_exec,system,popen,dl

6.取消 /tmp 可以被執行。/dev/sdaX /tmp ext3 defaults,nosuid,noexec,nodev 1 2

接著我們聊一下我們平常要作什麼

1.隨時備份 : 假如被攻擊了( SQL injection 等等),最起碼我還有被攻擊前的資料可以還原。

2.隨時注意 WordPress 相關安全新聞 : 除了軟體要 update,我們自已也要掌握一些新知、訊息,知彼知己,事前預防。

假如我們的網站被攻陷了,我們要怎麼作

1.如果不幸被攻陷了,盡可能取回控制權,關站、快點改掉密碼(後台、資料庫、FTP)。

2.並檢查資料有沒有問題 (掃惡意程式等等),或直接還原備份,再者請個專業人員協助你處理吧。

3.事後檢討為何被入侵了,加強安全性。

 

待續… (下集)

 

Cloudmax WordPress :

https://www.cloudmax.com.tw/product/wordpress-hosting

 

 

作者:Cross Fang

圖片來源:StockSnap.io