网站套件的“设定档”安全性问题
这是我在 Facebook 上看到的安全资讯,我觉得很重要,也适用在任何的网站套件上。
以 WordPress 为例,首先,请查看你的 WordPress 目录下是否有这些档案:
|
|
Wordpress 将数据库的帐号、密码储存在 wp-config.php 之中,上面列出的这些档案,有些是编辑器的暂存盘,有些是人工修改时重新命名的旧档。
重点是,这些档案的副档名已经不是“.php”了,可以在网页上被直接下载。一旦这些档案被下载,你数据库的帐号、密码就曝露了。再加上,如果你的 Server 上的 MySQL 服务是对外开放连线的话,你的数据库就会被入侵。
殷鉴不远,之前菲律宾国家的 DNS 网站就是这样被骇入的:
建议大家,除了档名很容易造成网站安全性的漏泂之外,你可能还要注意:
- 独立设定每个服务的数据库、帐号、密码,所以 WordPress 的帐号、密码不要与其它服务共用。
- phpMyAdmin 不要放在明显的路径 (Ex: /phpmyadmin)。
- phpMyAdmin 仅允许特定的 IP 存取。
- 防火墙须封锁 MySQL 的 3306 port,只允许 Server 在 Local 存取,禁止对外开放。
备份档的安全性
另外,我也经常从 Apache 的 Log 档看到有很多人尝试去下载这些东西:
- wordpress.zip (or .tgz or .tar.gz or .tar)
- blog.zip (or .tgz or .tar.gz or .tar)
- backup.zip (or .tgz or .tar.gz or .tar)
- bak.zip (or .tgz or .tar.gz or .tar)
- ...
各位站长做备份时要小心啊,不然你的网站很可能会被别人“整碗捧走”。没事看一下 Log 里的 404 记录,就会看到一些攻击的手法,会让你既生气又佩服。
一般默认不是在使用者家目录底下, 网页是放在 public_html 中? 把备份档案放在 public_html 上一层目录就 ok 囉
好方法。
但是一般租用较便宜的、多人共用的网页虚拟主机,网站都是放在家目录底下,有的甚至连 public_html 目录都没有。透过 CPanel 提供的简易程式随意备份、随意存放。
如果是自己架的 Server 或是租用 VPS 的人,比较懂得网站从无到有的概念,程度比较高,也才会去思考目录位置的问题。