很多人對Open Source的東西都比較容易有安全上的疑慮,會覺得它們不安全。
那...封閉性的系統,真的就安全嗎?
其實系統只要使用者多,就會有攻擊者出現。除了興趣、挑戰,也有商業的利益。如果系統沒有人使用,我想駭客對它們也不會感興趣。
系統是人寫的,只要是程式,就會有漏洞,也會被攻擊。
如果你使用的網站系統很熱門、有很多人使用,而且提供對外服務,那麼就需要考慮到安全的問題。我們能夠做的,就是讓它更安全。
除了網站的安全,伺服器的安全也很重要。
網站的安全
。Joomla版本更新
Joomla會不定時釋出更新,這些更新可以保護你的網站安全。
。擴充套件更新
因為網站功能的需要,大部份都會需要安裝第三方的擴充套件。但是這些擴充套件,安全嗎?
比較知名的開發廠商,會不定時釋出更新。這些更新除了新增功能之外,也會修正套件的錯誤與安全漏洞,建議更新,確保網站安全。
網路上有一些網站,提供付費套件讓你免費下載,有時可能還會覺得挖到寶了。但是這些套件不一定是安全的,有可能會被植入惡意程式或廣告腳本。下載來使用,可能會有木馬屠城的情景出現...謹慎小心可以常保平安。
。administrator後台登入保護
只要是使用Joomla的人都知道,管理後台登入的地方是administrator,所以保護登入的路徑,也是一件很重要的事。
你可以使用AskMyAdmin或AdminExile這類的外掛程式,來保護登入的位址。另外,網站安全的軟體,像是Akeeba Admin Tools也有提供一樣的保護功能。
。較強的密碼設定
做過MIS或網站專案的人都知道,很多客戶為了方便,都很喜歡使用簡單的密碼。而這些密碼,都是很容易猜得出來的。如果使用程式來跑,那就更快了。
所以,網站會員、管理者和資料庫密碼的設定就很重要了。建議取一個比較複雜的密碼,但這密碼是有規則的,可以方便自己記憶。
。不要使用admin作為管理者或會員帳號
admin帳號全世界都知道,攻擊的程式也不會放過這個名稱,所以就不要再使用了。
。使用簡短網址
在全站設定啟用搜尋引擎網址友善化(Search Engine Friendly URLs)設定,並使用網址重寫(URL Rewriting),這樣就比較不會暴露使用套件的類型,搜尋引擎也比較喜歡這類的簡短網址。
除了以上這些方式,也可以使用網站安全的套件。這類型的安全套件,雖然有提供免費版,但是完整功能需要付費。
以下是我們比較推薦的安全套件:
Admin Tools 設定稍微複雜一些,但功能比較強。不過,看過它的影片或文件之後,其實是很容易上手的。如果安裝好之後,要直接使用,可能會不知道從哪裡開始。
2. RSFirewall!
這個設定就比較簡單一點了,自動設定好之後,幾乎就可以使用了。
除了以上的套件,也有些免費的套件。不過,免費套件大部份都有功能上的限制,大家可以視自己的需要來評估選擇。
補充最重要的一點,就是“備份”。有網站就千萬別忘了備份,因為所有的辛苦和收穫就在這個備份裡面。
對於網站管理者來說,備份非常重要,有備份就有機會還原。備份在本機也是會有風險,因為存放在戰場難免會遭殃,所以異地備份一樣要做,保留一份網站備份,把它放在別的地方。
伺服器的安全
大部份人都會租用虛擬主機,所以伺服器安全就比較屬於主機商的事情。所以對我們來說,選擇專業或可信任的主機廠商也是很重要的。
如果是自己安裝的伺服器,盡可能要設定在生產模式(Production Mode),不要使用AMP預設的開發模式(Development Mode)。關閉不必要的訊息及設定,移除不需要的套件,可以讓你的伺服器更安全。
關於網站安全的主題有很多,我們將會有專欄文章和課程來討論這個網站安全的問題。