WordPress 保安重要性 WordPress Security
黑客是甚麼?黑客其實都是普通人。不過黑客很多時都是一些對電腦或不同軟件運作流程十分熟悉的人,所以他們往往能夠較容易找出漏洞,繼而通過漏洞進行入侵工作。而黑客入侵別人電腦,目的又是甚麼?其實目的有很多,例如證明自己的能力、惡意進行破壞、偷取機密資料等等,而在這幾個筆者舉出的例子當中,「偷取機密資料」可以說得上是最多黑客的目標。
不過要取得機密資料,其實又何需採用特殊技術呢?只需簡單採用 Google 再配合上指令式的搜尋方法,便可令你一次過搜尋出不小心的用戶所外洩的種種資料。以下便舉出兩個搜尋例子,讓大家開下眼界。
為避免方法被不法之徒利用,因此以下我們只會列出搜尋指令當中的一小部份,並不會將整句指令列出。
1. 輕鬆獲取網頁管理員密碼
為了方便進行開發,很多時開發人員都會採用流行的 CMS 平台例如是 WordPress、Drupal 等開發巨大的商業系統、將設計改頭換面等等,最終架設出如 Web Based 的 ERP、購物平台、公司網站…
而假如你公司亦是採用相關平台開發系統的話便需小心處理檔案或目錄的存取權限了,事關只要你採用以下的 Google 搜尋指令,便可輕鬆的將網頁管理員的密碼找出來。
原理:通過搜尋並未作好存取設定的網頁 root 目錄,加上搜尋不同 CMS 系統用作儲存管理員密碼、數據庫密碼的 php(或其他語言)的檔案,下載開啟後便可偷取密碼。
利用 Google 輸入指定的搜尋指令,同時在指令後加上流行 CMS 平台用來儲存超級管理員帳戶資料的 php 設定檔案。
然後 Google 便會列出所有未做好存取設定的目錄,進入後大家便可下載用作儲存管理員密碼、數據庫密碼又或者用戶登入資料的文件,開啟後輕易即可獲取相關資訊,而擁有這些資訊後,黑客便可即時輕鬆登入你的網站以及進行入侵或悄悄的植入惡意程式並偷偷收集你的用戶資訊。
總結:用戶的不小心成「幫兇」
提到「偷取資料」,其實很多時根本不用甚麼特別的技術;細心的讀者可能都曾經於網絡之上搜尋到來自不同網站所儲存的機密資料、密碼、相片、地址、電話、電郵等等,其實這一切很多時是由於用戶/管理員的不小心所致。
而上述的示範並非建議大家去試用,只是希望向大家提供一個清晰的資訊,那就是大部份資料外洩事件,都與用戶是否有作好充足的權限設定、建立密碼保護等這些最基本的動作有關,所以要預防資料外洩,第一步是改變對處理資料的習慣,同時亦應提高警覺性,這樣才是避免資料外洩而導致被入侵的一個最佳方法。
鳴謝:Lapcom
