25,Nov,2011
增加網站安全性的7個重點
由於資訊的發達,造就了許多駭客,因此除了網站的經營外,學習如何保護自己苦心經營的網站也是一個很重要的課題,在這篇文章中,A咖與大家分享幾個可以提升網站安全性的方法:
- 不要使用來路不明的架站程式或是外掛(plug-in)
盡量從官方網站或是知名度較高的網站去下載,對於一些來源不明的程式,除非您有判斷該程式的內容是否被竄改過或是安全無虞的經驗和能力,因為很多駭客就是利用這種方式把您的網站植入惡意的程式碼,或是開啟了駭客入侵的後門
- 選擇服務良好,管理嚴謹的虛擬主機商
好的虛擬主機商通常會幫您先做好第一層把關,像是防火牆的機制,或是檢查上傳的資料等等,並且還有定期備份的機制,保護您網站的資料安全
- 選擇有實力及經驗的網站建置公司
有經驗的的網站建置公司,在設計網站程式時,會幫您避免類似SQL Injection的攻擊,也會讓網站系統的穩定性及安全性有一定的品質,通常收費較低廉的網站建置公司,可能會使用Open Source的架站程式來建置網站,因而可能無法去注意這些細節,也沒有進行嚴謹的測試,因此要慎選有經驗的公司啊!
- 網站使用者輸入資料時應使用認證碼的機制
認證碼就是您在輸入資料時會有一串較不易辨識的英文或數字的組合,這個認證碼的功能通常可以檔掉大部份的機器人攻擊程式,避免被洗版,或是被機器人註冊了一堆無用的帳號
- 養成定期修改密碼的習慣,並使用強度較高的密碼
很多人怕密碼忘記常常只使用自己較熟悉的密碼(像是生日,電話號碼之類的,有的甚至用1234或是1111這種超丁丁的密碼),建議最好使用英文和數字混合的密碼,最好能夠是8個字元以上,並且養成定期/不定期修改密碼的好習慣
- 勤於更新網站版本
這點對於使用Open Source的使用者最為重要,一旦官方網站釋放出新的修正檔(fix,補丁),或是版本有做升級,最好能盡速進行修正,千萬不要抱持著僥倖的心態,以OSC這套免費的購物車為例,ms2.2版是目前較多人使用的版本,但他有幾支程式(像是fileupload)有很危險的漏洞存在,這類的問題就應該要盡速處理.
- 保管好您的帳號密碼
