上個月參加台灣第二次 WordCamp Taipei 大會,以往在這些活動上都會聽到一些新東西,或是從沒想過可以這樣做的解決方案,對我來說也算收穫很多,更棒的是還能寫文章分享給更多讀者朋友。因為 WordCamp 是 WordPress 愛好者和開發者聚集的大型聚會,介紹的服務或工具以網站會用到的為主,談到關於網站安全問題就會提到很知名的 Sucuri,以前我曾經使用過 Sucuri 網站加速和防護服務,現在則使用 Cloudflare,兩者某方面有些相似。
Sucuri 還有提供一項免費的「Sucuri SiteCheck」網站檢測工具,可能很多人沒有用過,透過這個服務只要輸入網址就能檢測網站是否安全,同時顯示一個安全評級判斷網站是不是需要調整。
Sucuri SiteCheck 會掃描網站是否有惡意程式、有無被植入垃圾郵件、有無被污染或內部伺服器錯誤等等,還有網站被加入黑名單的狀態,包括從 Google、Norton 和 McAfee 等第三方服務檢測結果。此外,Sucuri SiteCheck 還會有網站的基本資訊,像是 IP 地址、使用的 CMS 和 CDN、網頁伺服器及相關路徑。
雖然這個服務本質上是要宣傳自家的 Sucuri 服務,不過對於檢測自己的網站安全語法仍有一定效果,Sucuri SiteCheck 會在發現問題時顯示可行的解決方案。
Sucuri SiteCheck
https://sitecheck.sucuri.net/
使用教學
STEP 1
開啟 Sucuri SiteCheck 網站,從說明得知這是一個免費的網站安全檢測、惡意程式掃描工具,只要將網址輸入 Sucuri 就會掃描所有已知的惡意程式、黑名單封鎖情形和網頁錯誤問題,特別是一些過時、沒有更新的軟體(例如 WordPress 停留在過於老舊的版本)。
對於自行架站的網站來說,將網站相關程式更新、升級到最新版本是很重要的一個環節,因為很多舊版程式其實潛藏著已知的安全問題,升級後就能避免有心人士使用這些漏洞進行攻擊。
STEP 2
掃描結果最上方會顯示有沒有掃描到惡意程式,以及網站有無被加入黑名單,這兩個是最主要問題,特別是網站有惡意程式而被列入黑名單後就可能在使用者的瀏覽器端直接擋掉,也會減少很多流量,對網站管理者來說務必小心謹慎。
在下方會列出網站的 IP address、使用的內容管理系統、CDN 和網頁伺服器等資訊,免費資源網路社群使用 Cloudflare 服務也會在這裡被檢測出來,點選右下角鏈結可顯示更詳細結果,包括佈景主題路徑、網站路徑、找到的鏈結、JavaScript 等等元件。
下方的安全評級越貼近左側越好,如果風險評估在中間或偏高,可能就要注意檢測工具給出的相關建議。
STEP 3
在 Sucuri SiteCheck 檢測頁面下方還會列出各種檢測項目,其中在網站監測和網站防火牆部分應該是用來推廣 Sucuri 自家產品,這部份可以作為參考,其他像是掃描有無被植入惡意程式、伺服器錯誤或被列入黑名單等等就是更需要注意的部分,還好除了結果外 Sucuri 還會提供改善建議,若不確定應該怎麼做也可以透過相關的關鍵字 Google 找尋更多解決方案。
值得一試的三個理由:
- 掃描網站有無惡意程式,或被安全引擎列入黑名單
- 顯示風險評估並提供改善建議
- 顯示網站的 IP 位址、CMS、CDN 和相關資訊