Wordpress避免入侵和入侵後的處理方式

科比已經有為所有客戶網站提供實時入侵偵測/攔截及定期掃描,但假如網站出現漏洞,黑客嘗試植入代碼到網站,系統成功攔截植入代碼,這個情況下用家終究需要處理漏洞本身問題。

任何公司都不能保證網站100%不會被入侵,尤其使用像Wordpress的開源軟體,我們只能盡量避免,然後萬一出現網站入侵,除了制定回復機制,還有追查漏洞來源避免網站再次被入侵。 

 

如何避免入侵

1) 定期更新開源軟體

定期登入網站後台更新軟體,如果客戶透過一鍵安裝,可以啟用自動更新功能,如果非透過一鍵安裝軟體,也可以將網站(如Opencart, Wordpress 等)匯入到一鍵安裝以取得自動更新功能(使用自動更新的話請務必同時啟用)。
不論手動還是自動更新,用家也應該在更新後主動檢查升級後網站運作情況,如出現問題應盡快自行或聯絡我們安排還原網站。 

教學:匯入Wordpress到一鍵安裝

2) 我們可以免費為客戶進行網站掃描,費用全免。有關掃描報告除了病毒掃瞄,也有軟體更新的警示,有需要的話請電郵我們。

3)避免使用過於簡單的密碼

4) 安裝能夠隱藏wp-admin連結的插件,如WPS-HIDE-LOGIN

5) 留意付費外觀(theme)及插件(plugin)的更新情報,有些付費的可能需要定期付費才有更新用。

6) 盡量令網站兼容php版本,現時Wordpress版本最新版本是6.4,但很多客戶網站仍然使用4.x版本,可能是因為完全沒理會,又或者有理會但一些使用中的插件沒有更新,導致不能升級。我們沒有強迫客戶升級的能力,但建議能升級就升級吧。

7) 封鎖海外的POST動作,請參考另一教學

 

已經入侵,可以怎辦

科比有為客戶進行每日,每週及每月最少三份備份。原則上只要入侵時間不早於備份時間前,我們都可以進行還原。但進行任何還原動作前,除非客戶能掌握漏洞源頭,否則客戶務必,務必,務必先聯絡我們客戶。因為我們在進行還原動作前,會先記錄檔案被修改過的時間,從而追蹤漏洞源頭,如果檔案被還原或覆概,我們的技術人員就沒有足夠資料去追查,令網站很大機會有再被入侵情況。 

 

  • 網站入侵, wordpress
  • 0 أعضاء وجدوا هذه المقالة مفيدة
هل كانت المقالة مفيدة ؟

مقالات مشابهة

免費SSL介紹及啟用教學

所有科比虛擬主機方案預設均有提供免費SSL,有關SSL安全憑證由Let's Encrypt 提供。Let's Encrypt並不相容部份使用較舊版本作業系統的電腦或者手機裝置,...

限制海外IP於網站進行提交(POST)動作

首先要了解,甚麼時候會用到POST動作。...

如何使用Sitebuilder模板自建網站?

所有虛擬主機方案都已包含sitebuilder功能,客戶毋須繳交額外費用已經可以享用,以下為使用方法。...

(客戶必看!!)不同登入介面的用途

在虛擬主機開通後,客戶會有以下好幾個系統的登入資料。   客戶專區 https://portal.floppy.tw 查看帳單 / 繳交費用 / 登入 Directadmin...

如何連線到 FTP/SFTP?

FTP是常用的檔案傳輸工具,而我們推薦使用FileZilla,除了因為免費(FileZilla也有付費版本),主要是同時支援Windows及Mac,而且兩個版本的介面相近,當客戶需要我們協助時比...