防止惡意軟體感染

想要杜絕惡意軟體侵擾，就必須隨時保持高度警戒。本文提供實用的提示和建議，可協助您杜絕惡意軟體感染。然而，由於本文無法列舉所有情況，Google 建議網站擁有者另加深入研究。

監控網站的健康狀態

Search Console 中許多功能皆可協助您偵測潛在問題。舉例來說：

• 嘗試在 Google 上執行 site: 搜尋運算子搜尋，看看 Google 在您網站上找到哪些網頁。建議您定期執行這項操作，查看是否有人暗中在您網站上加入不該有的網頁或內容。如果您在網站上看到不明網頁，或者不是由您撰寫的主題，表示網站可能已遭到入侵。如果您不熟悉 site: 搜尋運算子的用途，這個運算子可將搜尋範圍限制在特定網站。舉例來說，搜尋 site:developers.google.com 只會傳回來自 Google Developers 網站的結果。
• 如果 Google 在您的網站上找到任何遭入侵的網頁，會在安全性問題報告中列出這些網頁，並提供解決問題的操作說明。
• 如果 Google 在您的網站上偵測到惡意軟體，Search Console 的訊息面板會顯示通知。為確保能迅速收到通知，您可以設定將訊息轉寄至電子郵件帳戶。

安全性檢查清單

除了定期監控您的網站以外，我們也建議您採取以下措施：

所有網站擁有者

• 選擇高強度的密碼。 請參閱 Google 帳戶使用指南中的實用資訊。
• 慎選第三方內容供應者。 檢查您網站上的第三方應用程式和廣告，確定都來自信譽良好且做法符合規定的來源，這類來源會在其網站中提供支援和聯絡資訊。
• 與您的代管公司或發布平台聯絡以取得支援。 多數公司皆設有專業的支援小組和/或安全性網頁，以回應需求。如果安全性網頁或網站提供 RSS 動態消息，請予以訂閱，以便掌握最新資訊。
• 保護您所有電腦的安全。特別是在建置網站時，請確定本機工作站使用的是最新軟體，且未包含病毒、木馬程式或類似惡意軟體，並已更新您安裝的防毒軟體。

具備伺服器存取權的網站擁有者

• 檢查您的伺服器設定。 Apache 網站提供了一些安全性設定提示，而 Microsoft 網站也提供多種 IIS 適用的技術中心資源。您可以透過部分提示進一步瞭解目錄權限、Server-Side Includes、驗證作業及加密作業等相關資訊。
• 備份 .htaccess 檔案 (或其他存取權控管機制，視您的網站平台而定)。如果後續操作無法順利實行，請使用備份檔案復原。復原後，請務必刪除備份檔案。
• 隨時取得最新的軟體更新和修補程式。 很多工具都能簡化網站的建置作業，但每項工具都會增加網站遭受攻擊的風險。許多網站擁有者常犯的錯誤，就是在網站上架設論壇或網誌便忘了要維護。網站就跟車子一樣需要定期保養，因此請務必為您安裝的軟體程式取得所有最新更新。建議您將網站採用的所有軟體和外掛程式列成一份清單，並持續追蹤這些軟體的版本號碼和更新。不過，如果您的網站代管商並未安裝最新的作業系統修補程式，那麼即使您確實更新所有網站元件，仍然可能受到安全性威脅。這個問題不只會影響到小型網站，銀行、運動隊伍、企業和政府網站這類大型網站也都會遇到這個情形。
• 隨時留意記錄檔。 這個習慣可帶來許多好處，其中一個便是提高安全性。舉例來說，只要記錄檔中出現陌生的網址參數 (例如 =http: 或 =//)，或是網站中網址的重新導向流量突然增加，就表示可能有駭客正在操控開放式重新導向。另外也請記得，駭客常會試圖更改記錄檔，建議您採取措施來保護這些檔案不受攻擊。例如，您可以將這些檔案從預設位置移至其他位置，使駭客無法輕易找到。
• 檢查網站是否存在常見的安全性漏洞。 請避免完全開放目錄權限，畢竟這種做法就跟敞開自家大門一樣。

  此外，請檢查網站是否存在 XSS (跨網站指令碼攻擊) 和 SQL 插入式攻擊漏洞。

• 使用安全的通訊協定。 Google 建議使用 SSH 和安全檔案傳輸通訊協定進行資料傳輸，不要使用 telnet 或 FTP 等純文字通訊協定。SSH 和安全檔案傳輸通訊協定使用加密機制，較為安全。
• 掌握最新的安全性消息。 Google 安全性網誌不僅提供線上安全性的相關實用資訊，也提供其他資源的連結。政府網站 US-CERT (美國電腦緊急應變小組) 則可提供技術層面的安全性警示和提示。

如果您是 Search Console 使用者，且您的網站有無法修正或持續發生的安全性問題，請通知我們。

回報安全性問題