网路让我们能与全世界交流、找到原本四散各地却志同道合的人所聚集成的专属社群、或是服务那些无论是不喜欢还是无法亲自到店面购物的顾客。
儘管网路为我们带来种种优势,却仍有风险存在,其中最要注意的是您的个人资料、网站,以及域名。
以下是保护您与网站安全的 10 项技巧。
1. 使用不同密码
我们必须再次强调为每个帐户设置专属密码的重要性。银行密码应该要与电子信箱密码不同,也要与您在域名註册商介面上的密码不一样。当然,您的网站登入密码也应当不同。
由于上述每一组密码都该使用高强度密码,因此您应考虑将密码储存在密码管理工具中。
为什麽需要这麽多密码?
我们听到您的心声了。密码验证并非完美解决之道。然而,由于每项需要密码的服务都有被骇入的风险,您需要个别设置不同密码,以免其中一项服务的密码在暗网遭洩漏后,攻击者一併取得您所有网路帐号权限。
2. 使用多重因素验证(MFA)
使用多重因素验证时,您就在密码外,为帐号多添加了一层安全防护。
多重因素验证这个名称听起来抽象,但其实相当好理解。基本上就像银行要求提供双证件的数位版本。多重因素验证也有许多不同类型:
基于时间的一次性验证码
此为其中一种多重因素验证,透过扫描 QR code 启用后,特定程式透过演算法产生一组每次 30 秒有效的 6 位数密码。
您登入帐户时先如常输入使用者名称与密码,接着打开手机中的应用程式并输入 6 位数密码。
攻击者将无法入侵产生密码的演算法,且密码每 30 秒更新一次,非长时间有效。
安全金钥
一个稍微不那麽複杂,更加安全,却也相对麻烦的选项就是安全金钥了,这是一种将小晶片插入 USB 端口的装置。
安全金钥不需要特殊应用程式或是输入额外密码。您只要在输入使用者名称与密码后,将金钥插进 USB 端口并按下金钥上的按钮即可。
这个方式的缺点是,您必须随身携带实体金钥,一旦忘记带或是遗失就无法登入帐户了。
生物辨识技术
听起来遥不可及,但这种型态的多重因素验证其实非常好操作,更是最人性化的方式。事实上,您现在很可能已经在智慧型手机上启用生物辨识验证了。根据您独特的指纹或脸部特徵,使用指纹辨识或是透过手机镜头的脸部辨识解锁。
随着越来越多的个人电脑开始在键盘中设置指纹辨识,这种类型的认证方式也将日益普及。
登入时只需要输入您的使用者名称与密码,接着使用生物辨识系统认证装置(无论是您的手机或是电脑)来完成登入。
3. 小心网路钓鱼
网路钓鱼电子信件会假冒成您信任的某个人(包含公司与机构,像是您的银行、域名註册商,或是邮局),但实际上将您引导至伪造网站并要求您提供个人资讯(尤其是密码)。
寄送电子信件几乎不需任何成本,且伪造某个人的电子信箱地址也相对简单, 因此网路钓鱼攻击至今仍是所有网路使用者的主要威胁。.
最佳防范网路钓鱼方式:
- 不要慌张。 网路钓鱼之所以有效,是因为人们看见吓人的邮件主旨时鬆懈了警戒。只要多花一分钟想想这封电子信件要求您做的事并检查连结,就可以避免落入钓鱼陷阱。即便是再紧急的问题,晚一分钟也不会造成重大影响。
- 不要点击连结。如果信件中要求您支付款项或输入个人资讯,请另外开启提到的网站。例如,您可以在浏览器中输入 Gandi.net 开启网站,登入您的 Gandi 使用者介面来确认域名是否需要续约,而非点击信中提供的连结。
- 检举网路钓鱼。当您收到网路钓鱼信件,请务必向相关单位检举。这样不仅有助于阻止还在进行中的网路钓鱼活动,更可以让邮件服务供应商标记该钓鱼信件,以提醒之后的收件人对某一特定信件多提高警觉。
4. 在不同网站登入时使用不同电子信箱地址
与帐号绑定的电子信箱地址有多种用途,包含重置密码、寄送电子报与行销活动信件,甚至有些会用来当作使用者名称。
这表示着如果用来登入某一网站的特定电子信箱地址被洩漏出去了,那麽其他使用这个电子信箱地址的帐号也会面临相同风险。
以管理网站时为例,如果您在註册域名与登入内容管理系统(CMS)时皆使用相同电子信箱地址,那麽您的内容管理系统登入资讯洩漏出去时,也会影响您在註册商网站的帐号,让您较难解决问题。
或者,即便帐号资讯未被洩漏,您可能会出于品牌推广与联繫目的,而使用 “@您的域名” 客製化电子信箱地址来登入内容管理系统。但是,使用这个信箱作为管理域名帐号的登入信箱可不是好主意。假设您的域名发生问题,由于该电子信箱仰赖域名正常运作才能收取信件,您就会无法登入域名註册商网站来解决问题。
最后,最好不要使用像是 “admin@” 或 “contact@” 这麽「显而易见」的信箱地址。这些信箱地址相对容易被猜到,不仅使得试图入侵帐户的潜在攻击者有迹可循,也让他们能更轻易地寄给您看似可信的网路钓鱼信件,因为他们会试着使用诸如 “contact@” 等等常见信箱地址,甚至是您网站上列出的任一电子信箱地址。
5. 持续更新软体
从某个层面来说,数位安全就像是软体开发人员和想利用软体漏洞与弱点的网路犯罪者之间的虚拟武装竞赛。
这就表示软体开发人员不仅要不断开发新功能,提昇软体表现,同时也会持续发佈软体更新版本,以修补漏洞及修復安全问题。
所有您用来上网的软体无一例外,包含网页浏览器 Firefox、Safari,以及 Chrome,邮件服务 Thunderbird、Apple Mail 以及 Outlook 等,除此之外还有任何您电脑、智慧型手机或平板中的应用程式,当然也包括了您管理网站所使用的软体。
具体来说,持续更新您的内容管理系统软体非常重要。这包含系统本身以及任何您使用的附加元件与扩充。举例来说,如果您使用的是 WordPress,就应该确保 WordPress 与所有您使用的 WordPress 附加元件都是最新版本。
软体开发人员通常会在新的版本发佈时通知您,在收到通知时立即更新非常重要。不过,定期主动检查自己使用的是否为最新版本也是个好点子。
6. 定期备份
我们总是很容易拖延而没有事先为最糟状况做准备,直到它真的发生的那一天。无论是蓄意攻击、天灾、错过续约,或是网站管理疏失,最重要的是能够在万一发生问题时透过备份回復。
需要备份的资讯
以下为几项您应该确保备份的资料类型:
- 备份您的电脑、智慧型手机,以及其他装置。定期备份您的电脑以及其他装置(例如您的智慧型手机)向来是个好主意。如此一来,万一发生问题时,您仍能顺利使用管理网站或域名所需的主要应用程式。这不单是指浏览器,如果您有使用密码管理工具,或是能够透过备份密码来重置的多重因素认证等,更需要特别注意。如果在遗失电脑同时,也遗失了这些密码,可能会让情况雪上加霜。
只要在主机上安装 Nextcloud,将电脑与其他装置备份到云端上其实很简单。. - 备份您的网站。 定期备份电脑非常重要之外,定期备份您的网站更是明智之举。您有可能基于诸多原因而必须从备份中回復网站,特别是当您的网站遭到入侵时,能否从遭入侵前的备份资料回復并使网站重新运作,更是至关重要。
- 备份您的域名设定。如果您的域名遭遇任何灾难意外,例如错过续约而必须重新註册、域名被盗后转出,或是您在编辑 DNS 纪录时犯了错,都可以透过 DNS 备份回復域名并恢復正常运作。了解DNS 快照功能。
如何备份您的资料
一般来说,应该遵守 3-2-1 备份原则:
3 个备份
2 种装置
1 个离线备份
意思是在 2 个不同的实体位置及 2 种不同的装置中,製作 3 份副本。
每年的3月21日即为 世界备份日 ,也许这可以帮助您更容易记得。
7. 使用 HTTPS 或是 SSL/TLS
SSL,全名为 Secure Socket Layer(安全通讯协定),也称作 TLS,全名 transport layer security(传输层安全性协定),是一种使用于 HTTPS(全名 Hypertext Transfer Protocol Secure,超级文字传输协议安全) 的特殊数据加密法,您很可能会从某些网址开头的 https:// 认出它。
这项协定需透过在您的网站上安装 SSL/TLS 凭证来执行。SSL/TLS 凭证是使用公开金钥加密生成的文件。这是一种数据加密(或编码)方式,仅有发送方与指定接收方才能解密或是解码。当您在网站上使用 HTTPS 时,在浏览器与网站间就会产生一条虚拟「通道」。当第三方读取到网站与终端使用者浏览器间的传输资料,他只能看见加密资料,没有任何破解方法。
这就是为什麽我们能够透过 SSL/TLS 凭证或 HTTPS 在网站中发送像是信用卡号码、身份证号码、使用者名称及密码等敏感资料。
有些类型的 SSL/TLS 凭证甚至能保证交易安全性。欲取得此类型 SSL/TLS 凭证,您必须通过额外验证程序。
当网页中安装了有效的 SSL/TLS 凭证后,通常在浏览器网址旁会出现一个锁定的小图示。这使得 SSL/TLS 凭证成为您与您网站使用者间建立信任的重要因素。
何时使用 SSL/TLS
SSL/TLS 最初被视为保护下列敏感资料的一种方式:
- 使用者名称与密码
- 金融资讯(例如信用卡号码)
- 个人身份资讯
在上述用途中,SSL/TLS 绝对相当重要。
然而除此之外,现今也建议所有的网页浏览都使用 SSL/TLS 加密。这样可让网路使用者更有信心,确保个人资料不会落入心怀不轨的人手中。您的位置与浏览内容甚至也可被视为敏感资料,因此请务必使用 SSL/TLS 凭证来保障您的网站与使用者的安全。
8. 避免使用预设资讯
大部分的内容管理系统,像是 WordPress 、Joomla 都会为管理者登入或是目录提供预设。以 WordPress 来说,预设登入的网址为 example.com/wp-admin/。若要客製化,您需要另外使用(安全且有维护的)附加元件。
设定网站使用者名称时也应该避免「admin」这类,虽然并非预设,但却过于普遍使用的名称。
9. 关闭不再使用的功能并且审核您的附加元件
有些您不再使用,但是仍允许使用者与网站进行互动的功能,可能为您的网站带来安全威胁。网站上所有能让使用者提交资料的表单,包含留言、註册,联繫表单等,皆有可能被利用来入侵您的网站。
如果您不再需要或是不常使用这些功能了,请务必确定这些功能已停用。例如,假设您在内容管理系统中启用了留言功能,但是并未管理网站留言区,那麽您应当停用这项功能,以防范潜在攻击者透过留言侵害网站安全,或是让某些使用者轻信留言,点击连结至伪造或是不安全网站。
同样地,您也应该定期审核安装在内容管理系统上的附加元件,尤其是若您正在使用像 WordPress 这样的内容管理系统。老旧且不再定期维护的附加元件等同于安全威胁。而一般来说,即便是有定期维护的附加元件都有可能是安全性问题的来源,因此卸载不再使用的附加元件是很重要的。
10. 保持警戒
保持警戒是保障您与网路安全的首要关键。唯有提高警觉才能识破网路钓鱼诈骗的企图,并且请务必定期更新软体。
无论是浏览网站时,管理域名、代管服务、内容管理系统的帐号时,或是检查您的网站并注意到异常时,保持警觉才能够发现问题。
因此,请注意安全并保持警戒!
Tagged in 2FAsslWordpress域名
