電癮院

以初學者的角度,來看待電腦教學這回事。

如何架出安全性較高的網站?

架站容易維護難,網路上有非常多什麼10分鐘架站教學、快速架站教學,說真的,那個看看就好,你以為架好之後,就能太平盛事到永久嗎?一知半懂的去架站,真的是一件很危險的事。

我這個業餘研究架站的人,至少超過十年以上,以前都是用一些免費架站工具像「Kloxo」及「ZPanel」,後來這幾個工具也相繼沒有維護了,「免費」就是這樣,沒有營利,怎麼會有人去維護呢?

「免費」的最貴,這個是真理,我用免費的工具全自動架出來的網站,先不論「效率」的問題,最嚴重的是很容易被「駭」,駭客們進出我的網站,根本就跟上廁所一樣簡單,我看大便都還沒出來,就已經把有害程式拉進我的網站了。

每次等你發現了,往往都來不及了,最後都會導致我的網站被Google Chrome當成有害網域。

所以我一直到2019年4月份時,才開始花錢訂閱了「Plesk架站工具」,之後就真的沒再發生過被植入有害程式的事件,下圖可以看到我的訂閱紀錄,我是真的有買,不是來業配的。

就這樣訂閱了快三年的時候,又開始想要省下這筆錢,想要自己架站,所以就趁著特價的時候,花了230元買了Udemy的一個課程「The Perfect Nginx Server – Ubuntu Edition」。

這個我也是真的是有買,但你如果透過這個連結購買的話,我可以賺一點「微薄」的分潤金,而當時空前絕後的特價230元,現在很難再看到了。

沒想到買了之後,就把每個月Plesk的USD$ 11.55給省下來了,跟著教學所架出來的網站,不僅安全性高,效率也高,之前要VM四核才跑的起來的網站,現在只要一核心的CPU就非常足夠了。

我要是早點學會這個課程的知識,我就不會在去年時,又再跟Google續約了3年的「2核心、7.5GB記憶體」的承諾使用折扣。

Nginx Server 課程介紹

在看過課程「The Perfect Nginx Server – Ubuntu Edition」之前的我,原本以為「手動」架站很麻煩,所以我之前才只能一直依賴這些架站工具。

但課程作者一直鼓勵大家要用「手動」的方式來架站,實際跟著操作之後才發現到,就如作者所說,用命令列的方式來架站,真的一點都不難。

實際去操作之後才發現到,我們平常用的架站工具,最終也是用來產生這些設定檔而已。

然後課程使用的Ubuntu來架Nginx Web Server,而VPS是使用國外一家叫「VULTR」來做示範。

雖然跟我在使用的CentOS不同,而且我VPS是使用「Google Cloud Platform (GCP)」,但還好影響不大,我都能順利的舉一反三,轉換過去,相信大家應該也都能轉換到自己的慣用服務。

接著我簡單的介紹一下這個課程所包括的內容。

作者講的是比較慢的英文,我雖然英聽很差,只聽的懂大概,但看著他操作,也大致上知道他在說些什麼,這也是影片教學的好處,並非都只要中文不可。

要不然230元的英文課程,在中文的課程找的到嗎?

Linux Essential Skills

課程一開始,會有一節「Linux Essential Skills」,先教一些之後課程會用到的基本Linux指令。

這節我是直接跳過,因為我Linux之前已經有接觸過,只要你會用 cd、mkdir、rm、mv、cp、chmod、chown,另外再會一種Text Editor,就大致上沒問題了。

Text Editor課程使用的是「nano」,而我慣用的Text Editor是「vi」。

如果你完全沒接觸過Linux,這節就不要跳過,都不會的話,甚至你可能沒辦法架站。

Ubuntu、Nginx、MariaDB及PHP的安裝與設定

安裝Ubuntu都很簡單,難是難在設定,然後要設定哪些東西。這邊會教你設定出一台「安全」的Server,像是Server的更新、防火牆開啟,打開Fail2Ban,然後用SSH Key來做登入。

在進行完作業系統的設定之後,就會開始安裝及最佳化Nginx、MariaDB、PHP7.4。

設定單一及多個網站

接著最核心的架站教學,會教你「手動」的設定nginx的設定檔、新增MariaDB資料庫,了解之後,無論是靜態html,或Wordpress這類的網站,都沒有問題。

也能自己自訂Server Block來自訂多個網站,也會教你用WPCLI這種命令列工具,來安裝Wordpress。

然後會有多個章節,提供多種保護的機制,用來保護我們的網站,只要照著操作,就能架出非常安全的網站。

SSL憑證設定

對於想要架https的網站,在這個章節時,就能很快學會,除了第一次的申請憑證,也包括日後的自動更新憑證,操作都非常的簡單。

WordPress的備份與還原

這個非常有用的章節,他會分別教你用外掛及用命令列的方式,來備份及還原網站或資料庫。

富盈數據「網站代管服務」終止

其實說來真的很巧,我在2021年12月中,學會了這個架站的知識,沒想到在12月底時,在「富盈數據」的「網站代管服務」居然要終止了,想當然爾,我當然是拉回來自己管理了。

之前會讓富盈管理,是因為架站容易管理難,在申請了要自己管理後,富盈數據排定了備份的日期,按約定日把備份好的網站檔案及資料庫檔交給了我。

設定好了DNS、Nginx、匯入DB、SSL憑證,很快的我就把網站給搞定了。

拔牙記

前幾天帶兒子去中國醫藥大學附設醫院拔了乳牙,完全沒哭,且乖乖配合,醫生都誇張他乖,對於這超乎的表現,我甚至感到非常欣慰。

當父母的生涯中會有許多的難關,其中一關就是,陪伴孩子度過「看醫生」的恐懼時期,而「看牙醫」更是魔物中的「歷戰王」,這就是為何有「兒童牙科診所」的原因。

兒子的左門牙恆齒已經長出來很久,可是右門牙的乳牙,一直都還聞風不動,醫師問,小時候有跌倒過嗎?

還真的有…特地去找了一下照片,發生在2020年12月19日傍晚。

兒子發生意外的經過

我當時在二樓聽到樓梯那邊有慘叫聲,覺得大事不妙,趕緊跑過去看。

兒子在大哭,我問他哪裡痛?也不曉得是他跟我說的,還是我先看到下巴處,已經開始流血不止,我就趕緊用手掌,把下巴緊緊包住,此時兒子整個歇斯底里的大叫,我一手押住傷口,一手抱著安撫他,整個情況真的會讓人發毛。

後來才知道是他用跑的上樓梯,但不慎跌倒,下巴撞到樓梯角。

我不曉得是有經驗,還是真的特別冷靜,我小時候,曾經不小心把一半尖銳的剪刀,刺進我的大腿內側接近膝蓋的地方,當時血也是狂流出來,我就趕緊拿衛生紙,用力按壓住傷口,等了很久,衛生紙也不曉得換過幾回後,最後終於止住血,但也沒去看醫生,就拿個電火布貼住而已。

我喊了喊在旁嚇傻的阿嬤去拿衛生紙過來,最後兒子情緒和緩下來,血也慢慢不再流了,看了一下傷口,本想說用OK蹦貼一下就好,但看傷口蠻深的,而且好像看到骨頭,所以就帶著阿嬤一起到醫院給醫生骨科醫生看。

當時發生的事就大概是這樣,縫了好幾針,每個禮拜都回去換藥,折騰了一、兩個月,才完全康復。

牙齒若受到強大撞擊,可能會影響生長

這個應該算冷知識了吧,我從來沒有聽過,原來跌倒之後的後遺症這麼多。

兒童牙科的醫生囑咐我,平時就多幫兒子的牙齒搖晃,加快掉落的速度,但每次要幫兒子搖時,他總是哀哀叫,所以我就決定要帶他去拔牙。

他聽到要去拔牙時,其實很害怕,一直說不要拔牙、不要拔牙,就任命的讓我幫他搖牙齒,但搖了一、兩個月,還是不見起色,這天剛好帶著兄弟兩個人,在讀一本賴馬的繪本「勇敢小火車」時,他看到聖誕老公公除了聖誕禮物之外,居然還有送小朋友「勇敢小禮物」,其中有一位小朋友是因為勇敢拔牙,就收到了小禮物。

意外讀到了這個故事,我當下沒有說任何事,但我相信兒子在讀這個故事時,應該有感覺到什麼,果然在幾天後,在一次幫他洗澡時,他說他要去拔牙齒,他不害怕了。

我當然也知道為什麼,知子莫若父。

就這樣,幫他預約一個月後,等到放寒假時,到大醫院去拔牙,因為診所的兒童牙科醫生說,大醫院有舒眠麻醉,才有辦法幫小孩拔牙。

出發拔牙

拔牙的日子終於到來,相信他心裡,應該是忐忑不安的,這麼重大的事,還是得最受他信賴的我陪他去。

掛號完,兩人在候診室外,說說笑笑的,兒子還在故做鎮定,我也一直避開關鍵字「拔牙」這兩個字。

首先,第一關,先要去照X光,由於照X光時,只要動一下就要重來,而且讓他獨自留在X光室拍,又怕他會害怕,所以很擔心要弄很久,幸好,他都一次就OK。

沒有小孩的人,你可能很難想像,小孩在一個陌生環境,看不到父母的焦慮,當他三歲送他去上半天的早療課時,前幾天要和我分開時,哭的撕心裂肺,我也是在故做鎮定,假裝我一點都不心疼。

再次回到候診室時,我跟他說你很棒,「雙人成行」打了好多次都沒過關,但拍X光一次就過關,跟他聊一下電動的事,他會比較放心一點,尤其是在診療室一直傳出小孩的慘叫聲時。

該我們上場了,他一躺下時,我告知說要拔右邊門牙的乳牙,但我不曉得有沒有聽錯,醫生說他們這邊「不拔牙」…

我心想,什麼!! 醫學中心的牙科不幫小孩拔牙,那我要送小孩去哪拔牙…

醫生也是在問有沒有跌倒過,然後看了看X光片說,隔壁乳牙也都卡住了,要加碼,總共要拔兩顆才行。

所以前面應該是我聽錯,醫生應該是說「沒有辦法配合的小孩」,他們沒有辦法拔牙。

因為拔牙要打麻醉,如果小孩會掙扎,會大叫跑掉的,就沒辦法拔牙齒。

就這樣,我兒子就乖乖的被打了麻醉之後,等待10分鐘藥效生效後,開始拔牙了,古有關羽刮骨療毒,談笑風生;今有兒子麻醉拔牙,處之泰然。

這也太乖了吧,在旁的實習醫師還問主治醫生,要幫忙抓住嗎?主治醫生跟他說,這個很乖,不用抓了。

兒子之所以不怕了,最大的功臣,是從三歲起就在兒童牙醫診所看的醫生,有醫師非常有耐心的訓練,才會讓兒子不怕看正式的牙醫。

椰林兒童牙科
台中市北屯區崇德路一段586之2號3樓

好了,兒子做完該做的事,接下來就再換父母要再當一次聖誕老人了。

PS. 不過話說那個什麼「舒眠麻醉」呢?

「部分密碼已外洩」的Google郵件,要理他嗎?

變更您所儲存的密碼 (部分密碼已外洩)

不曉得你有沒有收過如標題,Google所寄來的Email?

由於您使用的網站或應用程式發生資料侵害事件,您儲存在 Google 帳戶中的一或多個密碼已遭外洩。請放心,您的 Google 帳戶並未受到影響。

點擊〔採取動作〕之後,會開啟「安全設定檢查」,如下圖:

再點擊〔前往密碼安全檢查頁面〕之後,會出現驗證密碼的頁面,正確輸入密碼後如下圖:

看到這麼多要修正的密碼,我實在沒有那個時間,一個一個去修正密碼,我甚至覺得Google發這個信件,是要整人信件嗎?怎麼可能會有人想去修正這些密碼?

大部份人使用帳號密碼的習慣

我自己的慣用密碼有三組,銀行類網站用一組,重要的網站用一組,剩下的網站就用另下的一組,然後我會把我所有的網站及密碼,用一個Google文件記錄下來,十多年來一直都是以這個方式在運作,相信大多數人也應該跟我類似。

但其實這十多年以來,瀏覽網站的方式變化很大,大部份的人都從IE開始改用Google Chrome瀏覽器,也不需要再整理「我的最愛」,所有的裝置都會自動同步書籤,甚至登入時,也都不需要輸入密碼,Google有「密碼管理員」,直接都會幫你自動填入密碼。

因此,我們是該改變我們的舊習慣,那要如何做呢?Google有給了我們一個建議,如下:

網站的說明如下:

設定專屬密碼

請為每個網站或應用程式設定獨一無二的密碼。如果您重複使用相同的密碼,一旦有人取得該密碼,就能用來存取您的其他帳戶。

你可能以為Google在開玩笑,每個網站都用不同的密碼?!

開什麼玩笑,光是本來的密碼都已經快記不住了,要是Google用一個密碼、Facebook又再用另一個密碼、Microsoft再一個新的、Apple再用另一個…等等,最後你可能會忘記全部的密碼了。

所以,我前面不是說了嗎?現在已經有新的工具,讓你不需要再輸入密碼了,況且,如果你都用了同一組密碼,一旦有駭客拿到你的密碼,就會利用這組密碼去嘗試其它網站,你所有的資料,就有可能被駭客拿去利用,像是私密照…等等,進而向你勒索。

就好比三國的連環計一樣,你把所有網站,用相同的密碼串在一起,最後就是被一網打盡。

所以,每個網站要用不同的密碼,然後這些密碼再由Google Chrome的密碼管理員在管理,你根本也不需要去記這麼多密碼,你只需要好好記住Email信箱的密碼就好,但只有你信箱有綁定手機,就連信箱密碼也不需要記,忘記密碼時,只需要用手機去取得認證碼就好。

好,若你決心要大刀闊斧來解決這些難關時,第一步應該怎麼做呢?

你看我最後就是下定決心,除了解決最重要密碼遭到外洩的密碼,連同重複使用的密碼,我也大量的刪減掉,如下圖:

產生大量的密碼清單

首先,因為我們每個網站都需要一組密碼,所以我們要先準備好一堆密碼來使用,我們可以利用一些工具來達成。

RANDOM.ORG

照我上面的去填入及勾選,可以產生100組有數字及英文大小寫的字串,如下圖:

你可以把這些隨機的字串存到一個記事本裡面,供等一下使用。

密碼安全檢查

接著點擊「密碼安全檢查」頁面,連接到清單中的每個網站,使用上一段產生的隨機密碼,一一變更密碼,這個的確要花上不少時間,但絕對值得你去做的。

若是有發現到這個網站已經沒有的話,或者你覺得這個網站不重要,不變更也無所謂,你可以點擊「刪除密碼」,來清除該項目,如下圖:

另一方面,如果你發現到,明明已經選擇「刪除密碼」了,但怎麼再一次密碼安全檢查時,那個項目又再跑出來,那就是代表那個網站,可能有多個帳號資料,所以你也要從Chrome「設定」裡的「自動填入」,在右上方填入該網站的網址,然後搜尋出來,刪除其它沒有用的帳密資料,如下圖:

以上這些動作,真的是值得你空出一些時間來做,避免哪天真的密碼被盜,而造成骨牌效應,希望大家除了解決掉「密碼安全檢查」的問題之外,連同上一層的「安全設定檢查」的問題,也一併解決喔。

像我這麼懶的人,都花時間去解決了,相信大家也都可以的。

Page 1 of 251

Powered by WordPress & Theme by Anders Norén