全球 1000 萬網站恐成目標！5 個安全小 Tips 助你保平安

還記得從前，我們較少聽到一些大型的，針對網站的入侵行為，其主要原因是以往黑客的數量要比現時少得多；同時以往開發網站很多時都需從零開始編寫，很少或幾乎沒有任何的 CMS（Content Management System）系統協助，所以欠缺了統一性，這往往增加了黑客進行大型入侵行為的難度。

所謂的 CMS 系統，很多時是一些開源方案，例如最知名的 WordPress 便是其中之一。根據來自 Wikipedia 的資料顯示，截至 2015 年 1 月全球首 1000 萬排名的網站之中便有高達 23.3% 是基於 WordPress 而建立的；而 Wikipedia 更估計全球有高達 6000 萬個網站使用或基於 WordPress 而進行開發。

因此當 WordPress 本身出現了漏洞的話，黑客便可一次過針對使用 WordPress 平台的網站使用相同的手法進行入侵行為，從而達致大範圍的影響；幸好現時 WordPress 社群已擁有非常專業且為數極多的人員協助發現漏洞及釋出修正檔，因此某程度上能減少漏洞所造成的影響。

除了漏洞之外，作為管理員其實亦可在日常提高安全警覺，以下是一些安全小 Tips 供參考，通過落實以下的方法將有助降低被成功入侵的機會。

1. 嚴格遵守更改密碼原則

所有採用 WordPress 平台的用戶，包括管理員、編輯及作者，都需要於 WordPress 之中建立帳戶。很多時管理員會為 Admin 級數的帳戶建立複雜的密碼，然而卻會忽略了較低層級例如是作者的權限，這樣變相為黑客大開中門。一個強而有力的密碼應包括恰當的密碼組合，密碼應該要同時由數字、大小英文字母、符號作組合，而且在長度方面亦必須多於 8 個位，這樣要被攻破亦並非數十年可完成的事情。

2. 選擇可信任的插件

很多插件，不論是免費還是收費，當中都有機會帶有一定程度的漏洞；更甚者是由黑客建立的一個虛假插件；萬一使用了這些插件的話，網站便很自然的被成功入侵到，因此建議大家在安裝不同的插件前先多看看網上的評論；請不要只看插件的評分，事關評分是可以通過一些手段來達成的，所以作為管理員應在決定使用某些插件前花時間於網絡上搜尋一下，看看曾使用過有關插件的開發者評論，從而提高安全性。

3. 加入驗證碼防暴力破解法撞密碼

另一個最簡單的入侵方法就是暴力破解法（brute force attack）。通過採用不同的工具從而對目標網站進行「撞密碼」；這種方法很多時只需經過一段時間便會成功。要預防這種攻擊，用戶可考慮安裝一些 CAPTCHA 的認證方法，從而讓每一次登入請求發出前，均需輸入特定的驗證碼，這樣對於預防暴力破解法有很大的功效。

4. 增加進入 wp-admin 的難度

所有建基於 WordPress 的網站，其管理員登入位置均是 /wp-admin，因此要預防黑客入侵，便應採用 .htaccess 等方式加強進入 /wp-admin 的限制。例如設定為只限制指定 IP 才可存取 /wp-admin。

5. 禁止 WordPress 顯示版本資訊

最後一個方法就是禁止於 WordPress 之中顯示版本資訊；儘管黑客可通過檢查關鍵的更新檔案從而推測到你正在使用的 WordPress 版本，然而此舉卻已能大大減少黑客向你發動攻擊或進行入侵；事關黑客假如不知道你的 WordPress 是甚麼版本的話，往往便較難針對該版本進行最有效的漏洞入侵、攻擊，簡單來說就是無法對症下藥作出攻擊，因此黑客很多時都會放棄針對這類未能檢查到版本資訊的 WordPress 平台，正所謂「取易不取難」，這亦正正就是黑客心態。

其實針對 WordPress 的攻擊方法有很多，而上述的預防方式亦不能 100% 防止針對 WordPress 平台的攻擊；然而只需按上述所提及的方式提升整體的保安水平，那麼你的 WordPress 將會比起大部份的安全得多，大家不妨多以黑客的思維想想各種防禦方式，這才是應對黑客攻擊的致勝之道。

鳴謝：Lapcom