登入 註冊
 

ECSHOP網站如何才不會被入侵
閱讀 2206 次 0 會員 與 1 訪客 正在閱讀本文。
六月 16, 2013, 02:56:48 下午
很多會員問我這個問題,我只能回答我也不知道,聽起來有些不負責任,但事實的確如此,舉個例子好了,你花了幾千萬買了一棟別墅,建商保證可以耐震8級,卻在一次6.5級的地震垮了,找了建商理論,得到的答案是房子的結構被破壞了...

沒錯,每個物件都有他的結構,網站程式也是如此,這與開不開源沒有直接關係,反而是開源的程式因為比較容易發現安全漏洞,可以提早防範,但是偏偏有的人喜歡把程式改到面目全非,不但破壞了原有結構,要想升級根本是不可能的事,這樣的人,適合自己買地蓋房子(就是花錢請人寫程式啦),但是不要找到黑心建商,用5星級的收費,卻造出旅社品質的房子,可悲的是,這樣的例子還真不少...

慶幸的是,目前遭入侵的網站,不是被植入非法連結,就是客戶個資被盜(用來詐騙),還沒聽說有大損失,這也說明了一個事實,祂們請不起功力比較好的駭客,或說功力比較好的駭客根本沒興趣入侵小網站,前陣子的台灣和菲律賓事件,國家級的網站不是照樣被入侵,去年吧?國X服飾工程師應該不少,也一樣樣被入侵,他們都有專業的維護團隊,也不是開放源碼的程式,安全性反而不堪一擊,以免費開源的購物車來說,ECSHOP算很好了,當然有時因開發者疏忽造成安全漏洞在所難免,所以新版本發布後應該觀察一陣子,下面提供一些個人平常幫客戶維護網站必做的事...

1、不主動使用電話與消費者聯繫
網路不管做什麼事都很方便,人們在追求方便的同時,卻無形中製造了許多危機,幾乎人手一機的手機,是詐騙集團最常用的工具之一,如果你在網站清楚標示"本站不主動使用電話與消費者聯繫"的警語(簡訊例外),就可以讓你的消費者減少很多被騙的機會

2、經常檢查模板檔案
ECSHOP後台提供管理員直接操作模板檔的選項,因此入侵者可以針對不常用的檔案,植入"一句話"木馬,直接從遠端撈出資料庫的紀錄,為所欲為,"一句話"木馬的語法類似<? eval($_POST['xxxxx']) ?>,其中 eval($_POST['xxxxx']) 也可能是其他變種,因此不易察覺,但他是PHP語法,<? ?>是固定的,因此你在模板中若要使用PHP語法,應該使用 include 將PHP檔包含進來,而不要直接在模板中使用<? ?>,這樣就可以很容易檢查出來...另外,從FTP檢查檔案最後修改日期,也可以找出問題檔案

3、養成良好的備份習慣
萬一資料庫或檔案遭到破壞或竄改,這時後備份檔就很好用,千萬不要以為每個主機商真的會每天幫你備份,我碰過最離譜的是半個月一次,而且還原一次還要收500,還要等12小時以上,如果你不幸遇到這種主機商,肯定欲哭無淚,可見自己備份的重要,資料庫每天一次完整備份,而不是從EC後台,程式只有第一次完整備份,再來只需要針對修改過的檔案備份即可,不要以為平常沒是就忽略備份,倒霉的時候是意想不到的

4、強化Cpanel密碼
Cpanel 是每個網站的伺服器控制台,包含空間的資料庫、FTP、郵件...當然還有很多設定,因此密碼的設定不要太簡單,除了要選擇安全性高的主機外,也要留意自己的密碼是否安全,建議保留開通時的密碼,若擔心安全因素非改不可,也應該使用複雜一點的,有時候,駭客針對主機入侵,受害的是整部主機的使用者,與個人無關,主機遭受攻擊時有所聞,但這時後便考驗主機商的危機處理能力...

5、做好後台防護
入侵者透過前台的漏洞,取得管理員最高權限,然後以管理員身分登入後台,在模板檔植入一句話,便可在遠端隨心所欲對資料庫予取予求,這是最典型的入侵方式,截至目前入侵ECSHOP都是用這種方式(我遇過的),這跟版本沒有關係,程式發布一段時間出現漏洞是很正常的,因此要讓入侵者即使知道帳號密碼,也無法登入後台,才能確保後台真正的安全(更改admin資料夾名稱是沒用的)

駭客入侵網站的目的,多數是竊取客戶資料進行詐騙,也有做SEO的人非法植入連結,不管其用意為何,網站遭受入侵總是不好,不但可能造成客戶損失,自己網站安全也大打折扣,破壞商譽,嚴重一點還可能發生無法預期的後果,網路帶給人們方便,同樣給了有心人士方便,手機是用來打電話的,現在上網、購物、玩遊戲、聊天、錄影、照相功能齊全,也成了好用的詐騙工具,記得小時候在鄉下,地瓜葉是給豬吃的,曾幾何時,地瓜葉也變成了餐桌上的佳餚...

要提醒大家的是,科技在怎麼進步,網路在怎麼發達,都要適當的運用,過與不及都不好,大型賣場、量販店、連鎖店林立,但是他們缺乏穩固結構,只要有錢誰都能開,只要沒錢賺說倒就倒,網路開顛需要時間和用心來經營,品質與服務是成正比的,保留程式原有結構不要任意破壞,讓消費者有個安心與安全的購物環境,配合心來經營與高品質的服務,成功絕對是指日可待的

在沒有發現新的入侵方式之前,上述的5點作法足以高枕無憂,其中又以4、5兩點佔約80%的比重,我只能告訴大家,別忘了最原始的方法,也是最有效且安全的方法,好好的運用你的智慧吧!

記錄