防止惡意軟體感染

想要杜絕惡意軟體侵擾,就必須隨時保持高度警戒。本文提供實用的提示和建議,可協助您杜絕惡意軟體感染。然而,由於本文無法列舉所有情況,Google 建議網站擁有者另加深入研究。

監控網站的健康狀態

Search Console 中許多功能皆可協助您偵測潛在問題。舉例來說:

  • 嘗試在 Google 上執行 site: 搜尋運算子搜尋,看看 Google 在您網站上找到哪些網頁。建議您定期執行這項操作,查看是否有人暗中在您網站上加入不該有的網頁或內容。如果您在網站上看到不明網頁,或者不是由您撰寫的主題,表示網站可能已遭到入侵。如果您不熟悉 site: 搜尋運算子的用途,這個運算子可將搜尋範圍限制在特定網站。舉例來說,搜尋 site:developers.google.com 只會傳回來自 Google Developers 網站的結果。
  • 如果 Google 在您的網站上找到任何遭入侵的網頁,會在安全性問題報告中列出這些網頁,並提供解決問題的操作說明。
  • 如果 Google 在您的網站上偵測到惡意軟體,Search Console 的訊息面板會顯示通知。為確保能迅速收到通知,您可以設定將訊息轉寄至電子郵件帳戶

安全性檢查清單

除了定期監控您的網站以外,我們也建議您採取以下措施:

所有網站擁有者

  • 選擇高強度的密碼。 請參閱 Google 帳戶使用指南中的實用資訊。
  • 慎選第三方內容供應者。 檢查您網站上的第三方應用程式和廣告,確定都來自信譽良好且做法符合規定的來源,這類來源會在其網站中提供支援和聯絡資訊。
  • 與您的代管公司或發布平台聯絡以取得支援。 多數公司皆設有專業的支援小組和/或安全性網頁,以回應需求。如果安全性網頁或網站提供 RSS 動態消息,請予以訂閱,以便掌握最新資訊。
  • 保護您所有電腦的安全。特別是在建置網站時,請確定本機工作站使用的是最新軟體,且未包含病毒、木馬程式或類似惡意軟體,並已更新您安裝的防毒軟體。

具備伺服器存取權的網站擁有者

  • 檢查您的伺服器設定。 Apache 網站提供了一些安全性設定提示,而 Microsoft 網站也提供多種 IIS 適用的技術中心資源。您可以透過部分提示進一步瞭解目錄權限、Server-Side Includes、驗證作業及加密作業等相關資訊。
  • 備份 .htaccess 檔案 (或其他存取權控管機制,視您的網站平台而定)。如果後續操作無法順利實行,請使用備份檔案復原。復原後,請務必刪除備份檔案。
  • 隨時取得最新的軟體更新和修補程式。 很多工具都能簡化網站的建置作業,但每項工具都會增加網站遭受攻擊的風險。許多網站擁有者常犯的錯誤,就是在網站上架設論壇或網誌便忘了要維護。網站就跟車子一樣需要定期保養,因此請務必為您安裝的軟體程式取得所有最新更新。建議您將網站採用的所有軟體和外掛程式列成一份清單,並持續追蹤這些軟體的版本號碼和更新。不過,如果您的網站代管商並未安裝最新的作業系統修補程式,那麼即使您確實更新所有網站元件,仍然可能受到安全性威脅。這個問題不只會影響到小型網站,銀行、運動隊伍、企業和政府網站這類大型網站也都會遇到這個情形。
  • 隨時留意記錄檔。 這個習慣可帶來許多好處,其中一個便是提高安全性。舉例來說,只要記錄檔中出現陌生的網址參數 (例如 =http:=//),或是網站中網址的重新導向流量突然增加,就表示可能有駭客正在操控開放式重新導向。另外也請記得,駭客常會試圖更改記錄檔,建議您採取措施來保護這些檔案不受攻擊。例如,您可以將這些檔案從預設位置移至其他位置,使駭客無法輕易找到。
  • 檢查網站是否存在常見的安全性漏洞。 請避免完全開放目錄權限,畢竟這種做法就跟敞開自家大門一樣。

    此外,請檢查網站是否存在 XSS (跨網站指令碼攻擊) 和 SQL 插入式攻擊漏洞。

  • 使用安全的通訊協定。 Google 建議使用 SSH 和安全檔案傳輸通訊協定進行資料傳輸,不要使用 telnet 或 FTP 等純文字通訊協定。SSH 和安全檔案傳輸通訊協定使用加密機制,較為安全。
  • 掌握最新的安全性消息。 Google 安全性網誌不僅提供線上安全性的相關實用資訊,也提供其他資源的連結。政府網站 US-CERT (美國電腦緊急應變小組) 則可提供技術層面的安全性警示和提示。

如果您是 Search Console 使用者,且您的網站有無法修正或持續發生的安全性問題,請通知我們。

回報安全性問題