|
 近日來有許多PHP類型的網站被駭,連mamboportal.com的members論壇網站都被駭客入侵,除了請大家要小心之外,更需要了解一下如何提高Mambo網站的安全性。先請看TaiwanCNET的這兩篇文章:
- 「Google蠕蟲瞄準Yahoo、AOL用戶」
- 「病毒利用Google搜尋作擴散」
相信會有愈來愈多的駭客攻擊依照同一模式,從Google網站尋找同一類型的網站系統進行特殊的攻擊。對於Mambo網站而言,我們提供了以下的建議事項,提高您的網站的安全性:
1.隱藏您的網站有關Mambo的資訊:
除非您是一個提供Mambo相關資訊的網站,不然請去除您網站上有關Mambo的meta-tag,以及在網頁最下方的版權宣告部份。(這是根由GPL授權下合法的行為)
2.檔案的安全性需要提高:
確認您的網站上的所有檔案的權限,沒有777這種權限的檔案,尤其是configuration.php這個設定檔案,在網站建置完成後,最好把權限降為444(只能讀取)。另外installation這個目錄在安裝完成後是一定要刪除的。
3.帳號的安全性:
您可使用Apache的.htaccess來保護您的administrator目錄,讓它多一層密碼的保護,以下是網路上可以找到這部份的教學:
http://httpd.apache.org/docs/howto/htaccess.html(英)
http://weblog.chedong.com/archives/000321.html(中)
http://freebsd.lab.mlc.edu.tw/sec.shtml(中)
此外您的主機如果有Cpanel管理介面,可以直接使用這個方式保護您的administrator目錄。
admin的密碼最好設為8字以上,且使用英文大小寫和數字混合,例如"KiMo123m321"或是"kk123MaMbo44"(僅作範例,請勿依照使用),且另設一組儘有administrator權限的帳號和密碼。儘可能在非家中上網時,使用這組帳號和密碼。
4.元件與模組的安全性:
通常安全的漏洞會出現在某些特定的元件或模組中,例如知名的Mambo論壇元件Simpleboard、phpbb4mambo(phpbb程式最近是被攻擊的目標),以及檔案管理元件Remository,都有被入侵的記錄。對於這些元件,必需要隨時接受最新的資訊,以及更新到最新的版本。最好的方式是避免使用舊版的元件程式。TaiwanMambo發佈的元件程式,通常會加入這些元件修正安全漏洞的更新檔。
5.備份您的網站:
定期備份您的網站所有檔案與資料庫,是一定要作的一件事。如果您在不預期的情況下,被駭客入侵,還有挽救的空間。作為一個網站的管理者,相信這點是需要作的工夫。
|
