网站套件的“设定档”安全性问题

这是我在 Facebook 上看到的安全资讯,我觉得很重要,也适用在任何的网站套件上。

以 WordPress 为例,首先,请查看你的 WordPress 目录下是否有这些档案:

  • wp-config.php~
  • wp-config.php.2
  • wp-config.php.bak
  • wp-config.php.old
  • wp-config.php.ori
  • wp-config.php.orig
  • wp-config.php.original
  • wp-config.php.sav
  • wp-config.php.save
  • wp-config.php.swp
  • wp-config_php
  • wp-config.php_2
  • wp-config.php_bak
  • wp-config.php_old
  • wp-config.php_ori
  • wp-config.php_orig
  • wp-config.php_original
  • wp-config.php_sav
  • wp-config.php_save
  • wp-config.php_swp


Wordpress 将数据库的帐号、密码储存在 wp-config.php 之中,上面列出的这些档案,有些是编辑器的暂存盘,有些是人工修改时重新命名的旧档。

重点是,这些档案的副档名已经不是“.php”了,可以在网页上被直接下载。一旦这些档案被下载,你数据库的帐号、密码就曝露了。再加上,如果你的 Server 上的 MySQL 服务是对外开放连线的话,你的数据库就会被入侵。

殷鉴不远,之前菲律宾国家的 DNS 网站就是这样被骇入的:

建议大家,除了档名很容易造成网站安全性的漏泂之外,你可能还要注意:

  1. 独立设定每个服务的数据库、帐号、密码,所以 WordPress 的帐号、密码不要与其它服务共用。
  2. phpMyAdmin 不要放在明显的路径 (Ex: /phpmyadmin)。
  3. phpMyAdmin 仅允许特定的 IP 存取。
  4. 防火墙须封锁 MySQL 的 3306 port,只允许 Server 在 Local 存取,禁止对外开放。

备份档的安全性

另外,我也经常从 Apache 的 Log 档看到有很多人尝试去下载这些东西:

  • wordpress.zip (or .tgz or .tar.gz or .tar)
  • blog.zip (or .tgz or .tar.gz or .tar)
  • backup.zip (or .tgz or .tar.gz or .tar)
  • bak.zip (or .tgz or .tar.gz or .tar)
  • ...

各位站长做备份时要小心啊,不然你的网站很可能会被别人“整碗捧走”。没事看一下 Log 里的 404 记录,就会看到一些攻击的手法,会让你既生气又佩服。

  1. Using Mozilla Firefox Mozilla Firefox 36.0 on Windows Windows 7

    一般默认不是在使用者家目录底下, 网页是放在 public_html 中? 把备份档案放在 public_html 上一层目录就 ok 囉

    • Using Mozilla Firefox Mozilla Firefox 33.0 on Windows Windows 8

      好方法。
      但是一般租用较便宜的、多人共用的网页虚拟主机,网站都是放在家目录底下,有的甚至连 public_html 目录都没有。透过 CPanel 提供的简易程式随意备份、随意存放。
      如果是自己架的 Server 或是租用 VPS 的人,比较懂得网站从无到有的概念,程度比较高,也才会去思考目录位置的问题。

  1. No trackbacks yet.

return top

%d 位部落客按了赞: