為慶回歸,黑客組織Anonymous HkG又再出手竄改網站,在中國國家博物館網站首頁上加上組織的V煞面具及 “HAcked by Anonymous” 的字樣,癱瘓網站運作。今年5月底,Facebook創辦人Mark Zuckerberg在哈佛大學畢業禮上致詞,同時哈佛的學生報網站卻被不知名人士竄改為以嘲弄Mark為主題的內容。黑客仿佛自由進出他人的網站,究竟他們是如何做到的?(*是次示範使用WordPress 4.5.2,與插件一樣並非最新版本。片段只供參考,請勿模仿。)
Anonymous HKG在6月底的「新作」(圖:HK01)
對網站Admin的建議
今年2月,150萬WP網站因疏於更新系統而被黑客入侵竄改,WP在CMS界的市佔率達六成,它的使用者又懂得如何保護自己的網站嗎?片段只示範了最基本的入侵手法,懷有惡意的黑客的手段當然更多。作為網站管理員/營運者,你可以參考以下由Alan提供的建議:
1.) 使用最新版本的工具,包括Wordpress、Plugins
2.) 限制可以編輯內容的角色
- 限制能訪問網絡伺服器的IP地址
- 限制能訪問網絡伺服器的用戶人數
- 限定更新內容時要先取得許可
3.) 令網絡伺服器更堅固
- 只開放必要的通訊埠(Ports)
- 更新作業系統和網絡伺服器至最新版本
- 把經常在伺服器上運行的程式加入whitelist
- 使用網絡應用程式防火牆(WAF) �
4.) 安全評估
- 進行網站滲透測試(Pen-test)
- 在運行網站前修補漏洞
- 檢視服務器日誌(server log)
