Spaceship 博客

共享主機安全:如何保持受保護

對於每一種類型的網上項目而言,安全都至關重要。但除了財務成本之外,安全問題亦可能導致停機,干擾你的項目並危及客戶資料。它亦會影響銷售/業務,以及你的品牌形象和網站可信度。

在開始時,有各種網上業務的安全威脅需要留意。本文將探討共享主機用戶可能面對的安全挑戰,以及如何預防和解決這些問題。

共享主機安全

由於共享主機的性質及其建構方式,有些範疇可能成為攻擊目標。雖然大多數安全設定由主機供應商管理,但用戶亦可主動管理並減輕部分安全風險。共享主機中風險最高的範疇主要屬於以下類別:

  • 主機供應商層級

  • 伺服器層級(與產品及共享伺服器相關)

  • 用戶控制(與已安裝軟件、設定及日常使用相關)

主機供應商層級安全

最好始終選擇已具備適當安全措施的主機供應商,以減輕你的帳戶、主機服務及資料可能出現的問題。

需要留意的一些事項:

  • 高帳戶安全性及資料私隱(多重驗證 & 安全平台)。

  • 在伺服器層面緩解 DDoS 攻擊。

  • 定期為軟件進行備份(附通知)。

另一點要記住的是,在共享主機環境中,你並非獨立隔離。因此,如果某個網站採用薄弱的安全做法,例如未有加密敏感資料,便可能對其他用戶構成風險。若攻擊者取得某個網站資料庫的存取權,可能會找到與伺服器上其他帳戶互動的連線或指令碼。

亦存在惡意軟件傳播的風險:當其中一個網站受感染後,惡意軟件可透過共享檔案、指令碼或資料庫連線擴散到伺服器上的其他網站。當惡意軟件感染多個網站後,便可能導致資料外洩或進一步被利用。

請注意,共享主機供應商未必會在更新一經推出時,便預設立即更新伺服器軟件及設定。這可能造成漏洞,繼而被利用。例如,網絡罪犯經常針對過時版本的 PHP 或 MySQL。

這表示你需要確保伺服器上的所有更新都能及時完成。同時,最好亦檢查主機供應商是否支援或提供以下項目:

  • SSL 證書

  • 防火牆

  • 客戶支援

由用戶控制

共享主機軟件基礎架構

主機供應商負責軟件基礎架構的安全,但主機用戶需要管理任何額外軟件及自訂程式碼的安全。

不安全的外掛程式與主題

其中一項安全考量是外掛程式、工具及服務的選擇。若這些並非合法或安全,伺服器上的所有共享主機用戶都可能面臨各種攻擊或惡意軟件感染的風險。

亦有可能使用的是合法及官方軟件,但因未有更新而成為安全漏洞。這種情況可能出現在 WordPress 更新上,你需要留意電郵及通知,因為這些更新未必總是自動套用。

當你需要主動套用更新時,便更容易忽略它們。這是你在選擇供應商時需要記住的一點。

你可以透過以下方式了解主機更新:

  • 電郵

  • 控制台中的提示

  • 內容管理系統(CMS)供應商的版本說明

  • 論壇

密碼管理

若密碼管理處理不當,便可能讓未經授權者在主機環境中取得存取權。安全漏洞可能由弱密碼、容易猜測的密碼,或不同用戶之間共用安全憑證所引起。

暴力破解攻擊

這類攻擊涉及惡意軟件嘗試大量密碼組合,直到取得存取權為止。當密碼強度不足時,便更容易被攻破。

檔案權限

檔案權限錯誤可能導致敏感資料外洩,例如資料庫憑證。這類漏洞不僅會對遭受攻擊的網站構成風險,亦可能危及伺服器上的其他用戶。

伺服器層級安全

如前所述,用戶會與其他 Shared Hosting 用戶共用伺服器資源。若管理不當,共享環境可能帶來各種潛在安全風險,應予以考慮。

DDoS 攻擊

共享主機帳戶容易受到分散式阻斷服務(DDoS)攻擊,在這類攻擊中,網上系統、伺服器或網絡會被大量連線請求(互聯網流量)淹沒。這些攻擊通常由機械人網絡(botnet)發動,並會令一般互聯網用戶在一段時間內無法存取網站。

資源限制及其影響

當相鄰的主機帳戶遭受攻擊時,該帳戶會佔用更多資源,令其他用戶無法使用這些資源。最終結果是網站會變慢或無法使用。

主機供應商可採取監控措施,例如防火牆及自動流量監察,並在發生 DDoS 情況時採取行動,以防止當鄰近帳戶受攻擊時其他用戶受到影響。

防止或減少同一伺服器上攻擊影響的措施包括:

  • 高容量路由器

  • 防 DDoS 系統

  • 帳戶隔離

  • 防火牆

  • 入侵偵測與防禦系統(IDPS)

  • 流量限制

即使已採取安全措施,由於共享主機帳戶的結構,共享環境中的網頁主機仍會稍微更容易受到威脅。

共享 IP 位址安全

在某些情況下,共享主機帳戶可能包含多個方案及網站,而它們全部共用同一個 IP 位址。這表示若伺服器上的這個 IP 位址遭受網絡攻擊,整個一系列主機方案及網站都可能受到影響——即使它們並非原本的目標。

共享主機資料外洩

在共享主機環境中,若其中一個網站被入侵,攻擊者便可能設法存取同一伺服器上其他網站的檔案或資料庫。這表示若伺服器設定不夠完善,便更容易發生資料外洩,讓未經授權者存取其他用戶帳戶。

伺服器上的某個特定網站可能正遭受攻擊,例如 DDoS 攻擊、SQL 注入或跨網站指令碼攻擊。由此造成的資源干擾,可能令攻擊者更容易利用伺服器上的其他漏洞,從而導致多個網站的資料受損。

共享主機安全自訂

使用共享主機產品時,你無需自行管理伺服器安全,但亦無法像提供 root 存取權的主機方案那樣靈活地進行設定。

主機供應商通常會提供標準安全設定,以控制最重要的安全功能,但這未必能滿足部分用戶的特定需要。若你需要更高可配置性的安全設定,選擇專用伺服器或虛擬機器(VPS)主機服務可能會更合適。

共享主機安全與其他主機類型比較

共享主機與 VPS 及專用主機比較

使用共享主機時,你可以遵循最佳做法,並確保自己面臨的風險降至最低。但如果你有更高的安全要求,也許應選擇 VPS 或專用伺服器主機。使用這些方案時,你很可能會擁有 root 存取權,以及管理和設定安全選項以符合個人偏好的能力。

專用主機的安全優勢

專用主機提供的另一項安全優勢是完全隔離。共享主機用戶可能會受到同一伺服器上其他用戶所帶來的風險影響,而主機用戶則可獨享整台伺服器,並完全掌控自身安全。虛擬私人伺服器的擁有者亦然,但由於其隔離屬虛擬性質,VPS 用戶並不像專用主機用戶那樣完全獨立。

需要記住的是,專用主機及 VPS 主機所帶來的額外安全自訂與控制,同時亦伴隨更多責任。若用戶缺乏自行自訂及管理安全設定的技術能力,可能需要聘請 IT 專業人員。

保障共享主機安全的 10 項策略

對共享主機用戶而言,確實有一些安全風險需要留意,但亦有一些最佳做法可記住,以盡量降低這些風險。

1. 定期備份

定期備份網站檔案及資料庫,可在發生資料外洩或已安裝軟件出現問題時防止資料遺失。這亦讓用戶可透過還原至先前未受感染的網站狀態,更快恢復正常運作。

通常使用autobackup 服務會是個好主意,因為手動進行備份很容易被忽略,或未能定期執行。

2. 避免不受信任的來源

使用任何外掛程式或軟件時,務必格外警惕,以避免不受信任的來源並將安全風險降至最低。

3. 使用安全密碼及 2FA/MFA

你的主機帳戶、CMS 管理面板及 FTP/SFTP 帳戶都應只使用強而獨特的密碼,這點非常重要。為了增加額外一層安全保障,請在可行情況下啟用雙重驗證(2FA)或多重驗證(MFA)。

4. 規管權限、用戶角色及存取權

為避免任何人取得未經授權的存取權,請設定適當的用戶角色及權限,並確保你以安全方式儲存及與合作夥伴分享憑證。

限制可存取你的主機帳戶及網站的人數,是良好的做法。請定期監察你的存取記錄及帳戶活動,以留意異常或未經授權的行為。

請記得設定正確的檔案及資料夾權限,以防止未經授權的存取。這包括檔案使用 644,目錄使用 755。避免使用 777,因為這會允許所有用戶擁有完整的讀取/寫入/執行權限——除非你確定有此需要。

5. 使用網頁應用程式防火牆(WAF)

WAF 會分析進入網站的流量,在惡意請求到達網頁應用程式之前識別並過濾它們。這有助防止各類攻擊,例如 SQL 注入、跨網站指令碼攻擊(XSS)及遠端檔案包含。

WAF 可封鎖已知的惡意 IP 位址,以及垃圾訊息或 DDoS 攻擊的來源,防止這些請求影響網站效能。

使用 WAF 來過濾及封鎖進入你網站的惡意流量。部分主機供應商會將 WAF 作為服務的一部分提供,或者你亦可使用 Cloudflare 或 Sucuri 等第三方方案。

6. 使用 SSL 證書保障網站安全

為保障網站安全及保護用戶資料,SSL 證書是不可或缺的措施。HTTPS 協議可保障你的網站與訪客之間的通訊安全。許多主機供應商(例如 Let’s Encrypt)都會為所有網站提供免費 SSL 證書。

7. 定期更新修補程式、CMS 及外掛程式

請務必定期更新你的內容管理系統(CMS)平台、外掛程式及主題,以盡量減少安全漏洞。

請確保你的主機供應商會讓所有伺服器軟件(例如 Apache、PHP 及 MySQL)保持完全最新。

8. 掃描及監察可疑活動

請定期監察是否有可疑活動跡象,以檢查安全威脅。cPanel Virus Scanner 已包含於 Spaceship Shared Hosting 方案中。亦有免費監察服務如 ImunifyAV,以及免費網上掃描工具,例如 Sucuri

惡意軟件掃描工具可偵測並移除網站中的惡意軟件,而許多主機供應商亦提供內建惡意軟件掃描功能。你亦可為 WordPress 等熱門 CMS 平台輕鬆安裝安全外掛程式。

9. 使用安全檔案傳輸協議(SFTP)

為你的檔案傳輸協議(FTP)實施 SFTP,令網站檔案傳輸更安全。FTP 會以明文傳送資料(包括密碼),而 SFTP 則會加密資料傳輸。另一種安全的 FTP 替代方案是安全檔案傳輸協議(FTPS)。

10. 強大的帳戶隔離

最好選擇具備強大用戶帳戶隔離功能的主機供應商,例如來自 CloudLinux 的 CageFS,以隔離每位用戶的環境,並防止用戶帳戶互相影響。

額外安全考量

請務必檢查你的主機供應商是否遵循合理的安全政策及標準,並具備 CloudLinux 和 cageFS 等技術。請記住,安全的基本原則始於用戶本身,因此請確保你已實施強而有力的安全措施,例如自動備份、SSL 加密,以及自動為伺服器軟件套用修補程式和更新。

你可以考慮購買的安全產品包括:

  • 用於偵測惡意軟件的自動掃描及清理工具

  • 安全殼層(SSH)加密終端機存取

  • 防禦高流量攻擊的保護措施

  • WAF

  • DDoS 防護

  • CDN(以減少 DDoS 攻擊的影響)

保持安全受保護

無論是個人還是各種規模的企業,網絡安全都應始終是高度優先事項。作為共享主機客戶,確實有一些安全問題需要留意,但只要作出正確決定並遵循最佳做法,你便可以將風險控制在可管理範圍內。


推薦文章

分享您的想法

需要超過 10 個字符。
您的公開顯示身份。
提供您的電子郵件地址是可選的。它不會與第三方共享。

幫助我們改進博客

在快速的兩分鐘調查中分享您的想法。

必須提供有效的電郵地址