還記得從前,我們較少聽到一些大型的,針對網站的入侵行為,其主要原因是以往黑客的數量要比現時少得多;同時以往開發網站很多時都需從零開始編寫,很少或幾乎沒有任何的 CMS(Content Management System)系統協助,所以欠缺了統一性,這往往增加了黑客進行大型入侵行為的難度。
所謂的 CMS 系統,很多時是一些開源方案,例如最知名的 WordPress 便是其中之一。根據來自 Wikipedia 的資料顯示,截至 2015 年 1 月全球首 1000 萬排名的網站之中便有高達 23.3% 是基於 WordPress 而建立的;而 Wikipedia 更估計全球有高達 6000 萬個網站使用或基於 WordPress 而進行開發。
因此當 WordPress 本身出現了漏洞的話,黑客便可一次過針對使用 WordPress 平台的網站使用相同的手法進行入侵行為,從而達致大範圍的影響;幸好現時 WordPress 社群已擁有非常專業且為數極多的人員協助發現漏洞及釋出修正檔,因此某程度上能減少漏洞所造成的影響。
除了漏洞之外,作為管理員其實亦可在日常提高安全警覺,以下是一些安全小 Tips 供參考,通過落實以下的方法將有助降低被成功入侵的機會。
1. 嚴格遵守更改密碼原則
所有採用 WordPress 平台的用戶,包括管理員、編輯及作者,都需要於 WordPress 之中建立帳戶。很多時管理員會為 Admin 級數的帳戶建立複雜的密碼,然而卻會忽略了較低層級例如是作者的權限,這樣變相為黑客大開中門。一個強而有力的密碼應包括恰當的密碼組合,密碼應該要同時由數字、大小英文字母、符號作組合,而且在長度方面亦必須多於 8 個位,這樣要被攻破亦並非數十年可完成的事情。
2. 選擇可信任的插件
很多插件,不論是免費還是收費,當中都有機會帶有一定程度的漏洞;更甚者是由黑客建立的一個虛假插件;萬一使用了這些插件的話,網站便很自然的被成功入侵到,因此建議大家在安裝不同的插件前先多看看網上的評論;請不要只看插件的評分,事關評分是可以通過一些手段來達成的,所以作為管理員應在決定使用某些插件前花時間於網絡上搜尋一下,看看曾使用過有關插件的開發者評論,從而提高安全性。
3. 加入驗證碼防暴力破解法撞密碼
另一個最簡單的入侵方法就是暴力破解法(brute force attack)。通過採用不同的工具從而對目標網站進行「撞密碼」;這種方法很多時只需經過一段時間便會成功。要預防這種攻擊,用戶可考慮安裝一些 CAPTCHA 的認證方法,從而讓每一次登入請求發出前,均需輸入特定的驗證碼,這樣對於預防暴力破解法有很大的功效。
4. 增加進入 wp-admin 的難度
所有建基於 WordPress 的網站,其管理員登入位置均是 /wp-admin,因此要預防黑客入侵,便應採用 .htaccess 等方式加強進入 /wp-admin 的限制。例如設定為只限制指定 IP 才可存取 /wp-admin。
5. 禁止 WordPress 顯示版本資訊
最後一個方法就是禁止於 WordPress 之中顯示版本資訊;儘管黑客可通過檢查關鍵的更新檔案從而推測到你正在使用的 WordPress 版本,然而此舉卻已能大大減少黑客向你發動攻擊或進行入侵;事關黑客假如不知道你的 WordPress 是甚麼版本的話,往往便較難針對該版本進行最有效的漏洞入侵、攻擊,簡單來說就是無法對症下藥作出攻擊,因此黑客很多時都會放棄針對這類未能檢查到版本資訊的 WordPress 平台,正所謂「取易不取難」,這亦正正就是黑客心態。
其實針對 WordPress 的攻擊方法有很多,而上述的預防方式亦不能 100% 防止針對 WordPress 平台的攻擊;然而只需按上述所提及的方式提升整體的保安水平,那麼你的 WordPress 將會比起大部份的安全得多,大家不妨多以黑客的思維想想各種防禦方式,這才是應對黑客攻擊的致勝之道。
鳴謝:Lapcom
全球 1000 萬網站恐成目標!5 個安全小 Tips 助你保平安
https://www.facebook.com/hkitblog