防止惡意軟體感染

想要杜絕惡意軟體的侵擾,您就必須隨時保持高度警戒。本文章包含各種秘訣和建議,可協助您杜絕惡意軟體感染。然而,本文章無法一一含括所有的情況,因此 Google 建議網站管理員針對這個議題另外進行更深入的研究。

監控您的網站健康狀態

Search Console 中許多功能皆可協助您偵測潛在的問題。例如:

  • 嘗試執行 Google 的 site: 搜尋,看看 Google 在您網站上找到哪些網頁。建議您定期執行這項操作,查看是否有人在您網站上暗中加入不該有的網頁或內容。如果您在自己的網站上看到不熟悉的網頁,或者不是您撰寫的主題,表示您的網站可能已遭到入侵。如果您不熟悉 site: 搜尋運算子的用途,這個運算子可將搜尋範圍限制在特定網站。例如,「site:googleblog.blogspot.com」的搜尋只會傳回來自「Google 官方網誌」的結果。
  • 如果 Google 在您網站上找到任何遭入侵的網頁,我們會在安全性問題報告中列出這些網頁,並提供操作說明協助您解決問題。
  • 如果 Google 在您網站上偵測到惡意軟體,我們會在 Search Console 首頁通知您,並傳送通知訊息至您的「訊息中心」(為確保您能夠迅速收到通知,您可以將「訊息中心」訊息轉寄至您的電子郵件帳戶)。

安全性檢查清單

除了定期監控您的網站以外,我們也建議您實行以下措施:

所有網站管理員

  • 選擇較安全的密碼。 Google 帳戶使用指南含有許多實用資訊。
  • 謹慎選擇第三方內容提供者。 如果您考慮安裝第三方提供的應用程式 (例如小工具、計數器或廣告聯播網),請務必事先檢查這些應用程式。網站廣告空間的進駐廠商通常是網站擁有者不熟悉的對象。網路上雖然擁有許多優質的第三方內容,但是內容提供者也可能會利用這些應用程式侵擾訪客 (例如,植入危險的指令碼)。請確定應用程式來自可靠的來源:應用程式是否擁有提供支援和聯絡資訊的合法網站?該項服務有其他網站管理員使用嗎?
  • 與您的代管廠商或發佈平台聯絡以取得支援。 多數公司皆設有專業的支援小組和/或安全性網頁,以回應需求。如果安全性網頁或網站內含 RSS 資訊提供,請予以訂閱,以便掌握最新資訊。
  • 保護所有電腦的安全。特別是在網站上作業時,請確定本機工作站使用的是最新軟體,且未包含病毒、木馬程式或類似惡意軟體,並已安裝最新防毒軟體。

具備伺服器存取權的網站管理員

  • 檢查您的伺服器設定。 Apache 網站提供了一些安全性設定秘訣,而 Microsoft 網站也提供多種 IIS 適用的技術中心資源。您可以透過部分秘訣進一步瞭解目錄權限、伺服器端包含、驗證作業及加密作業等相關資訊。
  • 備份您的 .htaccess 檔案 (或其他存取控制機制,視您的網站平台而定)。如果後續措施無法順利實行,請使用備份檔案還原設定。還原完畢之後,請務必刪除備份檔案。
  • 掌握最新的軟體更新和修補程式。 很多工具都可簡化網站的建置作業,但是每個工具都會增加網站遭受攻擊的風險。許多網站管理員常犯的錯誤為:在網站上架設論壇或網誌,然後完全忘記它們的存在。網站就跟車子一樣需要定期保養,因此請務必為您所安裝的軟體程式取得所有最新更新。建議您列出網站採用的所有軟體和外掛程式,並記錄這些項目的版本號碼和更新。如果您的網站代管商並未安裝最新的作業系統修補程式,那麼即使您確實更新所有網站元件,仍然可能受到安全性威脅。這個問題的影響範圍不僅止於小型網站;大型網站諸如銀行、運動隊伍、企業和政府網站,都曾發生類似狀況。
  • 隨時留意您的紀錄檔。 這個習慣可為您帶來許多好處,其中一個便是安全性的提升。舉例來說,只要紀錄檔出現您不熟悉的網址參數 (例如「=http:」或「=//」),或是重新導向網址出現流量高峰,即表示可能有駭客正在操控您的開放式重新導向。另請記住,駭客常常會嘗試更改紀錄檔。建議您採取一些措施,保護這些檔案不受攻擊。例如,您可以將這些檔案從預設位置移至其他位置,使駭客無法輕易找到這些檔案。
  • 檢查您的網站是否存在常見的安全性漏洞。 避免完全開放目錄權限,畢竟這種做法就跟敞開自家大門一樣。

    此外,檢查網站是否包含 XSS (跨網站指令碼) 和 SQL 插入式攻擊漏洞。

  • 使用安全通訊協定。 Google 建議使用 SSH 和 SFTP 進行資料傳輸,而不要使用純文字通訊協定 (例如 telnet 或 FTP)。SSH 和 SFTP 會對資料進行加密,所以比較安全。如要瞭解這個秘訣及其他實用秘訣,請參閱 StopBadware.org 的「清理和保護網站的秘訣」。
  • 掌握最新的安全性消息。Google 線上安全性網誌」不僅提供線上安全性的相關實用資訊,也提供其他資源的連結。政府網站 US-CERT (美國電腦緊急應變小組) 則可提供您技術安全性警示和秘訣。
這對您有幫助嗎?
我們應如何改進呢?