Vixual

这是我在 Facebook 上看到的安全资讯，我觉得很重要，也适用在任何的网站套件上。

以 WordPress 为例，首先，请查看你的 WordPress 目录下是否有这些档案:

Wordpress 将数据库的帐号、密码储存在 wp-config.php 之中，上面列出的这些档案，有些是编辑器的暂存盘，有些是人工修改时重新命名的旧档。

重点是，这些档案的副档名已经不是“.php”了，可以在网页上被直接下载。一旦这些档案被下载，你数据库的帐号、密码就曝露了。再加上，如果你的 Server 上的 MySQL 服务是对外开放连线的话，你的数据库就会被入侵。

殷鉴不远，之前菲律宾国家的 DNS 网站就是这样被骇入的:

建议大家，除了档名很容易造成网站安全性的漏泂之外，你可能还要注意:

1. 独立设定每个服务的数据库、帐号、密码，所以 WordPress 的帐号、密码不要与其它服务共用。
2. phpMyAdmin 不要放在明显的路径 (Ex: /phpmyadmin)。
3. phpMyAdmin 仅允许特定的 IP 存取。
4. 防火墙须封锁 MySQL 的 3306 port，只允许 Server 在 Local 存取，禁止对外开放。

备份档的安全性

另外，我也经常从 Apache 的 Log 档看到有很多人尝试去下载这些东西:

• wordpress.zip (or .tgz or .tar.gz or .tar)
• blog.zip (or .tgz or .tar.gz or .tar)
• backup.zip (or .tgz or .tar.gz or .tar)
• bak.zip (or .tgz or .tar.gz or .tar)
• ...

各位站长做备份时要小心啊，不然你的网站很可能会被别人“整碗捧走”。没事看一下 Log 里的 404 记录，就会看到一些攻击的手法，会让你既生气又佩服。