我們提供 100 個名額的網站免費健檢服務,如果您懷疑網站被駭都可以提出申請。

這是免費的服務,您只要提出申請我們就會幫您查看網站有什麼問題。

有需要的朋友千萬不可錯過。

駭客為什麼會找上我的網站?最常見的 5 種原因

如果你有過WordPress網站被駭的經驗,那你心裡一定有很多關於資安的疑問:網路上那麼多的網站,為什麼駭客會找上我的網站下手?他們怎麼肯花時間入侵我這個名不見經傳的小網站?入侵我的網站能夠有什麼好處?我的網站到底是怎麼被入侵的?有沒有一勞永逸的方法防止再被入侵?

沒錯!本篇文章就是要來分析各種可能原因給各位迷茫困惑的網站主,一旦有了這些重要的資安防護觀念,那麼未來對於駭客的防範就可以更上一層樓。

WordPress 網站被駭最常見的原因

我們分析網站被駭的原因主要有下列幾個:

網站後台或是主機帳號/密碼外洩

其實不只是網站,現在更流行的 Facebook, LINE 帳號被盜也都是這個原因,而慣用的手法是一種叫「社交工程」(Social Engineering) 的技巧。以下是維基百科對「社交工程」的摘要說明:

社交工程是指在資訊安全方面操縱人的心理,使其採取行動或洩露機密資訊。有別於社會科學中的社會工程,這是種以收集資訊、欺詐或入侵系統為目的的信任騙局,已發展出各種技術手段,並可能用於犯罪。

簡單來說,就是用騙的;駭客們會想盡辦法騙到你手上的主機帳號密碼。

常見的手法像是最近 Facebook 都會收到一封你的帳號違反規定將被停權,然後要你點一個網址連結來處理,而事實上那個網址只是用來騙你輸入帳號/密碼,或是點了之後駭客就取得你的帳號權限。

因此資安重點是要有危機意識,要能夠辨識哪些訊息來源可信、哪些連結不可以點,而不是密碼的複雜度或長度;人家給你一個釣魚的網頁叫你填帳號密碼,你就傻傻的填了。或者是所有的帳號密碼都用同一組,只要一組被盜就是全部被盜,這樣你設100字的密碼也是枉然!

目前要防範帳號被盜最有效的方法是「兩步驟驗證」(Two Factor Authentication 縮寫為2FA),就是除了密碼之外,還要透過電子郵件或是手機接收並輸入收到的驗證碼,因此儘可能為你的重要數位資產加上兩步驟驗證的保護。

網站被駭

駭客利用有漏洞的 WordPress 網站程式

事實上目前最常被應用於網站的 PHP 程式語言經常被挖掘出漏洞,而最常見的架站系統 WordPress 就是用 PHP 語言寫的。但是你知道嗎?目前 PHP 8.1 以前的版本都最好不要用了,因為那些舊版本已經被開發者「放生」了;也就是說,開發者不會再去修改舊版本的PHP程式語言,如果又有駭客發現那些舊版本的漏洞,開發者是不會去修補的。

CentOS 7 EOL

還有目前網站系統最大宗的 CentOS 7 也將於 2024/6/30 抵達產品壽命終點 ( End Of Life, EOL ),還有資料庫軟體 MySQL 5.7 也在 2023/10/31功成身退了。

這種情形跟個人電腦的 Windows 作業系統類似:想像一下,資安技術跟駭客的入侵技術每天都在迅速的進步中,對於現在的時代而言,2009年發布的Win7的資安防護,早已像是裸奔一般的危險。但根據statcounter的統計,2024年的現在還有約3%的人在已被放生的 Windows 7 來上網,這些人的電腦會中毒或被駭本來就是正常的。

所以使用過時的系統及程式在網路上24小時任何人都可以連線的網站,基本上你在有心人士眼中就是一個極容易到手的獵物;這就像你手拿著中古世紀的劍,要跟手持衝鋒槍的駭客對戰,勝負不用戰就可以預知了!

惡意程式掃描到未更新的 WordPress 網站程式

WordPress 是目前最多人使用的架站系統,最大的原因是有數不盡的免費外掛及佈景主題可以滿足大多數人的需求。對很多人來說,這些方便的元件裝了就最好不要再動,也最好不要去更新;但是你要知道:WordPress 主程式、外掛或佈景主題為什麼會出更新版本?除了開發者推出新的功能之外,最常見的原因是程式出現漏洞,如果你的網站使用了有問題、過時的外掛元件,駭客可以利用程式掃描到你的網站漏洞,然後自動植入惡意程式碼,對!是程式自動攻擊的,你以為他們那麼閒沒事盯你的網站?

這種情況有一個很簡單的比喻:隨著年月流逝,家裡門窗可能會逐漸老舊、門鎖生鏽,如果這時屋主都不去理它,被小偷光顧真的只是剛好而已。但是你知道嗎?我們接觸過的 WordPress 網站,有超過一半以上並不是在最新的版本。

維持網站程式在最新的版本是基本常識,大家應該也都聽說要這樣才會安全。可是為什麼有那麼多人的網站程式沒有更新呢?追究原因大部分是沒有專業人員來處理網站的更新,以致於曾經有程式一更新網站就掛點的不好經驗,所以就變成再也不敢自行更新了!

最近一個比較有名的案例就是Elementor Pro 造成 WordPress 網站被駭,讓很多網站都被駭。

那網站要如何更新才不會出問題,這就像你房屋年久失修出問題了要如何解決?當然是找專業的房屋修繕管家幫你處理。我們出租的網站主機租用代管就有提供這樣的服務,讓你不需再為網站更新煩惱!

網站主機系統資安防護不足

這是一般人不會想到的原因,但事實上你的網站被駭有很大機率是主機商的問題,因為他們的系統資安防護設定不夠,讓外來或是同一台主機的惡意網站主人有機會入侵其他網站鄰居。像10幾年前高登工作室網站被駭以及網站被駭救援教學:6 個步驟清除被加碼的程式,這兩個案例都是這種情況,所以換了安全的主機之後就沒有再被駭了。

這就好像是你的鄰居有了大門出入的鑰匙,就可以自由進出整棟大樓,而保全系統又沒有限制他只能到他居住的樓層,其他住戶的風險當然也增加。所以當你在評估主機商的性價比的同時,主機商過往的安全記錄上網 Google 一下,如果該主機商曾經發生過很嚴重的資安問題的話,遠離它是最好的抉擇。

這邊還有另外一個案例跟這個也有關:收到 HITCON ZeroDay 網站資安通報該採取的 4 個步驟,這是網站設計者使用的程式碼太舊,再加上網站主機商提供的防護不足雙重漏洞造成的。

駭客特別針對你的網站下手

假如你擁有十萬粉絲的 FB 專頁,那麼對駭客們來說你簡直是一頭肥羊,駭入你的 FB 專頁可以獲利很大;相同的如果你的WordPress網站一天有 10 幾萬個訪客,他們一定會主動攻擊你的網站,而且會是持續攻擊,除非你或你的主機商、工程師有能力可以有效辨識駭客並阻擋,否則網站被駭是遲早的事。

所以規模中大型的網站一定會有專門的網站管理人員,隨時處理網站的任何問題。一般小規模的網站就要找像我們有幫忙代管的網站租用服務。如果你的網站曾經被入侵過,而且一再的發生,那不用考慮了,換我們有專業資安防護的主機吧!

網站被駭以後的處理流程

如果網站被駭之後很快就發現,那用主機商提供的備份檔來還原到沒有被駭之前的狀態是最快的方法。可是萬一太慢才發現(像是上一篇案例過了快一個月才發現或是求助),那唯一的方法就是上一篇的流程;或許你會以為很麻煩要花很多時間,但事實上這個案例大概花半個小時就完工了,要找到對的人才是重點。

詳細的救援過程請參考 網站被駭客入侵救援教學:6 個步驟清除被加碼的程式。

如果你的類似的問題也可以找我們處理。

如何防止網站再度被駭?

第一個就是換一家主機商,而事實上高登工作室為什麼會發展到網站主機出租的這個領域?就是因為10幾年前自己的網站也被駭過,而當時主機商的罐頭制式回覆,讓高登瞭解到要靠別人不如靠自己,於是開始在網站主機資安的專業領域花了不少時間研究。

至於什麼安全外掛、防火牆外掛之類的加強措施,老實講效用並不大。重點在主機系統的安全防護,不是在你 WordPress 網站的安全防護,主機端的防護做好了,駭客試了幾次就會知難而退另外找目標了,他們真的沒有那麼多時間跟你玩,而且你一個小小的網站,入侵了之後也沒有多大的獲利價值,只是你正好符合那個倒楣鬼的特徵才會找上你。

如何找出網站被入侵的管道?

如果沒有找出被入侵的漏洞,很可能短時間內網站又會被駭!為了查出駭客入侵的管道,我們可以有以下的步驟:

  1. 首先,我們需要檢查網站的主機日誌 ( Log ),尤其尋找可能的被入侵時間的記錄,檢查是否有任何異常活動。
  2. 然後,我們可以使用資安外掛執行一個完整的病毒掃描確認所有檔案的安全性;不過外掛往往會誤報某幾個系統檔案有被修改過,這是因為外掛是以英文版的檔案做基準來比對的,而我們用中文版本會有一些檔案內容有異,這一點就要靠資安維護者的專業判斷來識別是否為外掛程式的誤判。
  3. 再來使用瀏覽器的無痕視窗,在未登入的狀態下檢視網站 HTML 原始碼,看是不是有被加入不該有的程式碼或是外部連結?
  4. 最後,我們可以更新網站的安全性措施,例如使用較強的密碼和 SSL 安全加密以及兩步驟驗證。

那是不是以上的措施都做了網站就安全了?很抱歉,如果你的網站住在一個不夠安全的主機大樓裡,它還是不安全!所以找一家信用好沒有被駭記錄的主機商是最聰明的做法,關於這方面更多的資料及需求您可以透過[連絡我們]尋求協助。

網站被駭請人處理的費用?

這個要看實際的損害狀況及復原的難度才能報價,一般的費用都是 3000 元起跳,有需求的網站主請再用連絡表單提出需求,本工作室再依個案報價。

如果以上的資訊對您有幫助,那一定要訂閱我們的電子報,電子報會提供你更多這方面的知識。

網站被駭救援

您的網站被駭了嗎?我們有網站被駭救援服務哦

延伸閱讀

輸入您的信箱訂閱電子報


發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料