主機端,有主機商的資安防護,這是主機商該做的事,而我們網站端的資安防護,除了個人要有良好的使用習慣之外,也須安裝一套資安插件來協助保護網站。
例如你不小心從路上下載來路不明的外掛,造成資安上有所疑慮或可能的因此外掛有問題而造成你網站被駭,此時主機端的防範並不會知情也不會發現你網站被駭,因主機端在資安上所防範的並不是這類的事件,所以你網站端上的資安防範,仍然要做,不可有那種我主機商很強,我網站一定是安啦的錯誤認知!
在WordPress網站端中最常見的資安作法,就是安裝「資安相關」的插件,但「資安相關」的插件選擇性上也很多,除了慎選一套防範功能不差、不拖緩過多網站效能之外的插件,再來就是設定或運用資安插件中所附帶的功能。
有時候我們尚須怎樣應變已經被駭或出現資安問題的網站,當網站真的被駭時,首先會運用資安外掛來掃瞄與修復,如果真的修復不了,可能要人工去檢查研究出問題的檔案可能在哪個路徑,反覆對照與測試,再不行可能就要走上「還原」的方式(所以主機商有沒有每日備份的功能超重要)。
我們都不是網路安全這方面領域工程師出身的,所以在網站被駭時我們能處理的方式有限,當覺得所有能做的都做過了,最後一途就是「還原」了,但是在我接案七年多來的心得,只要主機端、網站端的基本資安防範都有先做到,加上良好的網站使用習慣,網站很少出現被駭被入侵的情況,也正因我七年來遇上的情況並不多,所以這個專題的文章量可能比僅記錄我遇過或比較常用的方式,預計篇數不會太多。