網站套件的「設定檔」安全性問題

這是我在 Facebook 上看到的安全資訊,我覺得很重要,也適用在任何的網站套件上。

以 WordPress 為例,首先,請查看你的 WordPress 目錄下是否有這些檔案:

  • wp-config.php~
  • wp-config.php.2
  • wp-config.php.bak
  • wp-config.php.old
  • wp-config.php.ori
  • wp-config.php.orig
  • wp-config.php.original
  • wp-config.php.sav
  • wp-config.php.save
  • wp-config.php.swp
  • wp-config_php
  • wp-config.php_2
  • wp-config.php_bak
  • wp-config.php_old
  • wp-config.php_ori
  • wp-config.php_orig
  • wp-config.php_original
  • wp-config.php_sav
  • wp-config.php_save
  • wp-config.php_swp


Wordpress 將資料庫的帳號、密碼儲存在 wp-config.php 之中,上面列出的這些檔案,有些是編輯器的暫存檔,有些是人工修改時重新命名的舊檔。

重點是,這些檔案的副檔名已經不是「.php」了,可以在網頁上被直接下載。一旦這些檔案被下載,你資料庫的帳號、密碼就曝露了。再加上,如果你的 Server 上的 MySQL 服務是對外開放連線的話,你的資料庫就會被入侵。

殷鑑不遠,之前菲律賓國家的 DNS 網站就是這樣被駭入的:

建議大家,除了檔名很容易造成網站安全性的漏泂之外,你可能還要注意:

  1. 獨立設定每個服務的資料庫、帳號、密碼,所以 WordPress 的帳號、密碼不要與其它服務共用。
  2. phpMyAdmin 不要放在明顯的路徑 (Ex: /phpmyadmin)。
  3. phpMyAdmin 僅允許特定的 IP 存取。
  4. 防火牆須封鎖 MySQL 的 3306 port,只允許 Server 在 Local 存取,禁止對外開放。

備份檔的安全性

另外,我也經常從 Apache 的 Log 檔看到有很多人嘗試去下載這些東西:

  • wordpress.zip (or .tgz or .tar.gz or .tar)
  • blog.zip (or .tgz or .tar.gz or .tar)
  • backup.zip (or .tgz or .tar.gz or .tar)
  • bak.zip (or .tgz or .tar.gz or .tar)
  • ...

各位站長做備份時要小心啊,不然你的網站很可能會被別人「整碗捧走」。沒事看一下 Log 裡的 404 記錄,就會看到一些攻擊的手法,會讓你既生氣又佩服。

  1. Using Mozilla Firefox Mozilla Firefox 36.0 on Windows Windows 7

    一般預設不是在使用者家目錄底下, 網頁是放在 public_html 中? 把備份檔案放在 public_html 上一層目錄就 ok 囉

    • Using Mozilla Firefox Mozilla Firefox 33.0 on Windows Windows 8

      好方法。
      但是一般租用較便宜的、多人共用的網頁虛擬主機,網站都是放在家目錄底下,有的甚至連 public_html 目錄都沒有。透過 CPanel 提供的簡易程式隨意備份、隨意存放。
      如果是自己架的 Server 或是租用 VPS 的人,比較懂得網站從無到有的概念,程度比較高,也才會去思考目錄位置的問題。

  1. No trackbacks yet.

return top

%d 位部落客按了讚: