Posted:
原文:Mobile-friendly web pages using app banners
作者:Daniel Bathgate, 软件工程师, Google搜索

當使用者利用行動裝置搜尋時,無論找到的資訊來自應用程式或網頁,都應該是關聯性最高的搜尋結果。為了讓使用者能夠更輕鬆地查詢及發掘應用程式適合行動裝置瀏覽的網頁,我們近來已推行許多相關措施。然而,有時當使用者在行動裝置上點選搜尋結果,卻發現宣傳特定應用程式的插頁廣告遮住了許多內容,要求他們安裝應用程式。我們的分析顯示,由於使用者會因為無法看到預期的網頁內容而感到失望,造成搜尋滿意度大打折扣。
即日起,我們將更新行動裝置相容性測試,指出網站應避免顯示用來宣傳應用程式的插頁廣告,以免使用者在從搜尋結果網頁轉換至所需頁面時,因為這類廣告而無法正常瀏覽網頁內容。網站管理員可透過 Search Console 的行動裝置可用性報告,瞭解自家網站上有多少網頁出現這個問題。
自 11 月 1 日起,如果行動版網頁因顯示應用程式插頁宣傳廣告,導致點選搜尋結果的使用者無法正常瀏覽所連結的網頁內容,將被視為不適合在行動裝置上瀏覽。不過,這對於其他類型的插頁廣告並無影響。除了應用程式插頁宣傳廣告以外,您還可以透過其他類型的瀏覽器廣告,以使用者更容易接受的方式宣傳您的應用程式。
應用程式插頁宣傳廣告會遮住許多內容,帶來        應用程式的橫幅宣傳廣告所造成的干擾性   不良的搜尋體驗                                                          較低 (推薦使用)


應用程式插頁宣傳廣告會遮住許多內容,帶來不良的搜尋體驗
應用程式的橫幅宣傳廣告所造成的干擾性較低 (推薦使用)
Safari 和 Chrome 皆支援應用程式橫幅宣傳廣告 (前者支援智慧型橫幅廣告,後者則支援原生應用程式橫幅宣傳廣告)。橫幅廣告可在宣傳應用程式的同時,保持使用者介面的完整性,讓使用者隨心所欲進行瀏覽。此外,只要在不妨礙搜尋者瀏覽網頁內容的前提下,網站管理員都可以用自己的方式投放應用程式橫幅宣傳廣告。

如有任何疑問,也歡迎隨時前往網站管理員中心論壇與我們討論。

Posted:
原文:#NoHacked: Fixing the Injected Gibberish URL Hack
作者:Eric Kuan, Webmaster Relations Specialist and Yuan Niu, Webspam Analyst

我們將在今天的 #nohacked 推廣活動中,和大家談論如何解決我們上週提到的被植入無意義網址的駭客攻擊問題。即使您的網站未遭受這種特定類型的駭客攻擊,下方許多步驟仍有助您抵禦其他類型的駭客攻擊。大家可以透過 #nohacked 標記追蹤在 Twitter 和 Google+ 上的討論內容。((第 1 部分第 2 部分第 3 部分第 4 部分)


讓網站暫時下線
讓網站暫時下線不僅可避免網站的訪客前往遭駭網頁,您也有時間能夠妥善修正網站問題。如果未讓網站下線,在您清理網站的同時,網站可能面臨再次遭到入侵的風險。

處理網站問題
您必須有能力對自己的網站進行技術方面的調整,才方便進行以下的幾個步驟。如果您並不熟悉網站技術,或者不確定自己是否能處理這些調整,建議您諮詢或聘請專業人士。不過,詳閱這些步驟說明仍然對您有所幫助。

著手修正網站問題前,建議您先備份網站 (這個備份版本仍包含遭駭客植入或竄改過的內容,僅供您在不慎移除重要檔案時使用)。如果您不知道如何備份網站,請向您的代管服務供應商尋求協助,或者參閱內容管理系統 (CMS) 說明文件。而按照步驟進行操作時,如果您打算移除某個檔案,請務必保留該檔案的複本。

檢查 .htaccess 檔案
為了操縱您的網站,這類駭客攻擊手法會建立或竄改 .htaccess 檔案的內容。如果您不知道 .htaccess 檔案的位置,請參閱伺服器或 CMS 說明文件。

請檢查 .htaccess 檔案,確認其中是否含有可疑內容。如果您不知道如何解讀 .htaccess 檔案的內容,可以參閱 Apache.org 說明文件、前往說明論壇提問,或者諮詢專業人士。以下是遭這類駭客攻擊所竄改的 .htaccess 示例


  • <IfModule mod_rewrite.c> 
  •   RewriteEngine On  
  •   #Visitors that visit your site from Google will be redirected  
  •   RewriteCond %{HTTP_REFERER} google\.com 
  •   #Visitors are redirected to a malicious PHP file called happypuppy.php 
  •   RewriteRule (.*pf.*) /happypuppy.php?q=$1 [L] 
  • </IfModule>
將您找到的所有惡意內容予以刪除。在多數情況下,如果 .htaccess 檔案內均為惡意內容,您可以直接刪除整個 .htaccess 檔案。此外,您可能會注意到 .htaccess 檔案中出現了惡意 PHP 檔案 (我們稱之為 happypuppy.php,但其名稱通常為隨機的雙字詞組合),這部分在下一步驟中相當重要,因為我們接下來要討論的就是如何追蹤惡意檔案。

找出其他惡意檔案
JavaScript 和 PHP 檔案是最常遭到這類駭客攻擊手法竄改或植入內容的檔案類型。駭客所採取的方式通常有兩種:第一種是在伺服器上置入新的 PHP 或 JavaScript 檔案。有時這些被置入檔案的名稱會與網站上正常檔案的名稱相當類似 (比如正常檔案是 wp_cache.php,被置入的檔案是 wp-cache.php)。第二種方式是竄改伺服器上的正常檔案,在這些檔案中置入惡意內容。舉例來說,如果您的網站上具有範本或外掛的 JavaScript 檔案,駭客就可能在這類檔案中加入惡意的 JavaScript。

例如 www.example.com 上有一個名為 happypuppy.php 的惡意檔案,這個檔案先前被發現藏匿在 .htaccess 檔案內,而駭客將其植入網站資料夾中。不過,駭客同時也破壞了名為 json2.min.js 的正常 JavaScript 檔案,在其中加入了惡意程式碼。以下為遭到毀損的 json2.min.js 檔案示例:


為了有效追蹤惡意檔案,您必須瞭解網站上的 JavaScript 和 PHP 檔案有何作用。您可能需要參閱 CMS 說明文件以取得協助;瞭解各檔案的功用之後,追蹤不屬您網站的惡意檔案時就會更為輕鬆。

此外,也請檢查您的網站最近是否修改過任何檔案。凡是近期修改過的範本檔案,都應該徹底檢查。我們在附錄中提供了相關工具,協助您解析不易解讀的 PHP 檔案。

移除惡意內容
如同先前所述,在您決定移除或修改任何檔案前,請先妥善備份網站內容。如果您有定期備份網站的習慣,那麼可能只要將網站還原到完好的備份版本,網站就清理完成了,整個流程非常簡單。

如果您沒有定期備份網站的習慣,則有幾種替代方案可以選擇。首先,刪除網站中被置入的所有惡意檔案。舉例來說,您可以刪除 www.example.com 中的 happypuppy.php 檔案。而對於 json2.min.js 這類遭到毀損的 PHP 或 JavaScript 檔案,您必須將這些檔案的完好版本上傳到您的網站。如果您使用 CMS,建議您在網站上重新載入新版核心 CMS 和外掛程式檔案。

找出並修正漏洞
移除惡意檔案後,建議您追蹤導致網站遭到入侵的漏洞並予以修正,否則您的網站隨時都有再次遭駭的風險。漏洞的來源相當多,從遭到竊取的密碼乃至於過舊的網路軟體都有可能。請參閱Google 網站管理員駭客攻擊相關說明文章,瞭解如何找出並修正漏洞。如果您無法找出網站遭到入侵的原因,請務必更改所有登入憑證所使用的密碼、更新所有網路軟體,也可以謹慎評估是否需要更多協助,確保一切安全無虞。

後續步驟
網站清理完成後,請使用 Google 模擬器工具來檢查 Google 是否仍會看到這些遭駭網頁,也別忘了檢查首頁是否還有遭駭客植入或竄改過的內容。如果您沒有發現任何遭駭內容,那麼恭喜您,網站已經清理乾淨!如果 Google 模擬器工具依然在這些遭駭網頁上看到由駭客植入或竄改過的內容,則代表您的工作尚未完成。請再次進行檢查,看看是否遺漏了任何惡意 PHP 或 JavaScript 檔案。

確認網站清理完成,漏洞也已修正之後,就可以讓網站重新上線。如果 Google 對您的網站施行了人工介入處理行動,請透過 Search Console 提出重審要求。此外,請設法保護網站日後不受攻擊所危害。如需進一步瞭解如何針對日後可能受到的攻擊為網站採取預防措施,請造訪 Google 網站管理員說明中心 (專門針對遭入侵的網站) 閱讀相關文章。

我們希望這篇文章能夠讓您更加瞭解,當網站遭受駭客攻擊、被植入無意義網址時該如何解決問題。敬請追蹤我們的社交推廣活動,也歡迎透過 #nohacked 主題標記,分享任何關於維護網路安全的提示或技巧。

如果還有其他問題,歡迎前往網站管理員說明論壇提問,該網站管理員社群中的其他成員會非常樂意回答您的問題。另外,我們將於 8 月 26 日舉辦 Hangouts 直播:安全性講座,歡迎共襄盛舉。

附錄
這些工具或可為您提供協助,不過 Google 並未針對這些工具提供支援。
PHP DecoderUnPHP駭客經常會竄改 PHP 檔案,導致難以辨識。利用這些工具清理 PHP 檔案,可讓您更瞭解 PHP 檔案的作用。

Posted:
作者:Eric Kuan, Webmaster Relations Specialist and Yuan Niu, Webspam Analyst

我們將在今天的 #nohacked 推廣活動中,和大家談論如何判別時下常見的駭客入侵手法以及相關的診斷方式。即使您的網站未遭受這種特定類型的駭客攻擊,下方許多步驟仍有助您抵禦其他類型的駭客攻擊。我們將在下週的文章中進一步探討如何解決這類駭客入侵問題。大家可以透過 #nohacked 標記追蹤在 Twitter 和 Google+ 上的討論內容。(第 1 部分第 2 部分第 3 部分)


判別徵兆

充斥胡言亂語的網頁
這類駭客攻擊的特徵就是在網站上加入垃圾網頁。這類網頁含有充斥關鍵字的無意義文字、連結和圖片,目的是為了操控搜尋引擎。舉例來說,這類駭客攻擊會建立像www.example.com/pf/download-2012-free-full-crack.html 這樣含有無意義內容的網頁,如下所示:



偽裝手法
這類駭客攻擊模式通常會使用偽裝手法,讓網站管理員難以察覺。所謂的偽裝,指的是對網站管理員、訪客和搜尋引擎顯示不同內容或網址的手法。舉例來說,網站管理員可能會看到空白網頁或 HTTP 404 網頁,進而誤以為駭客的威脅已經不存在。然而,當使用者點選搜尋結果進入該網頁時,卻仍會被重新導向垃圾網頁,搜尋引擎檢索該網站時仍只會看到毫無意義的內容。

監控網站
嚴密監控網站是否遭到駭客入侵,可讓您更快針對駭客攻擊進行補救,將這類攻擊可能造成的傷害降到最低。您可以透過多種方法來監控網站是否遭受這類駭客攻擊。

檢查是否出現網站流量遽增的情況
由於這類駭客攻擊會建立許多塞滿關鍵字的網址供搜尋引擎檢索,因此您可以查看近期是否有任何非預期的流量遽增情況發生。發現流量遽增的情況時,您可以使用 Search Console 中的搜尋分析工具來調查造成網站流量出現異常的根源是否為遭駭的網頁。

追蹤您的網站在搜尋結果中的顯示方式
我們建議所有網站管理員都應該定期檢查自家網站在搜尋結果中的呈現效果,因為這能讓您及時察覺駭客入侵的徵兆。您可以使用 site: 運算子 搜尋自家網站 (例如搜尋 site:example.com),藉此查看網站在 Google 搜尋結果中的顯示方式。如果發現與您的網站相關的垃圾連結,或是「這個網站可能已遭入侵」標籤,代表您的網站很可能已遭到入侵。

訂閱 Google 快訊
我們建議您申請使用 Search Console,以便透過其中的人為介入處理檢視器安全性問題報告,檢查 Google 是否在您的網站上偵測到遭駭網頁。一旦 Google 在您的網站上偵測到遭駭網頁,Search Console 就會傳送訊息通知您。

此外,我們也建議您為自己的網站設定 Google 快訊。如此一來,當 Google 發現新的搜尋查詢結果時,Google 快訊就會傳送電子郵件給您。舉例來說,您可以使用常見垃圾字詞為自己的網站建立 Google 快訊,例如 [site:example.com <特價軟體>]。如果您收到電子郵件指出 Google 已針對該字詞傳回新的查詢,最好馬上檢查觸發快訊的是您網站上的哪些網頁。

診斷您的網站

收集有用的工具
您可以在 Search Console 中使用 Google 模擬器工具。Google 模擬器工具可讓您透過 Google 的角度檢視網頁,以便找出經過偽裝的遭駭網頁。此外,您也可以在本篇文章的附錄中找到其他來源提供的更多付費和免費工具。

檢查是否有網頁被駭
如果您不確定自己的網站上是否有遭駭客植入或竄改過的內容,Google 網站遭入侵疑難排解工具可引導您完成一些基本檢查事項。如果是遭受這類駭客攻擊,建議您對網站執行 site: 搜尋,查看搜尋結果中是否有含有奇怪關鍵字的可疑網頁和網址。如果您的網站擁有大量網頁,您可能需要嘗試更多針對性的查詢。您可以找出常見垃圾字詞,然後附加在 site: 搜尋查詢中,例如 [site:example.com 特價軟體]。請多嘗試幾個垃圾字詞,看看是否有任何結果。

找出經過偽裝的遭駭網頁
由於這類駭客攻擊會利用偽裝手法來掩人耳目,因此,請務必使用 Search Console 中的 Google 模擬器工具來檢查您在上一個步驟中所找到的垃圾網頁。提醒您,偽裝的網頁可能會對您顯示 HTTP 404 頁面,讓您誤以為網頁遭入侵的問題已經解決,但其實該網頁仍在線上。另外,建議您一併使用 Google 模擬器查看您的首頁,因為這類駭客攻擊通常會在首頁加入文字或連結。

我們希望這篇文章能讓您更加瞭解如何判別網站被植入無意義網址的駭客攻擊,並學會相關的診斷方式。我們將在下週說明如何排除這類駭客攻擊對網站的影響,請密切注意。敬請追蹤我們的社交推廣活動,也歡迎透過 #nohacked 主題標記,分享任何關於維護網路安全的提示或技巧。

如果還有其他問題,歡迎前往網站管理員說明論壇提問,該網站管理員社群中的其他成員會非常樂意回答您的問題。另外,我們將於 8 月 26 日舉辦 Hangouts 直播:安全性講座,歡迎共襄盛舉。

附錄
您可以使用下列工具來掃描網站,這或許有助於找出問題內容。不過,除了 VirusTotal 是 Google 提供的工具,Google 並未對其他工具提供支援。

Virus TotalAw-snap.infoSucuri Site CheckWepawet這些工具都能為您掃描網站,協助找出問題內容;但提醒您,這些掃描工具不一定能判別所有類型的問題內容。
張貼者:網站管理員關係專員 Eric Kuan 和垃圾網站分析師 Yuan Niu

Posted:
作者:John MuellerWebmaster Trends Analyst

在收到許多關於 Google Search Console 搜尋分析報表功能的意見後,我們決定也透過 API 為開發人員提供這項資料,希望這款 Search Analytics API 可協助您將搜尋排名資料納入您的應用程式和工具中。
如果您已經在使用其他的 Google API 或現有的 Search Console API,相信這會更容易上手!使用說明網頁 (目前僅提供英文版說明文件) 提供了 Python 的範例,可供您在自己的程式中使用。舉例來說,您可以將 API 用於下列用途:
[以上說明文件目前僅提供英文版。您認為翻譯成您的語言會有幫助嗎?請使用這份表單告訴我們。]
您打算如何運用這款新的 API 呢?我們很想知道您會透過什麼方式來使用加入了這款 API 的全新工具和應用程式,讓您進一步瞭解網站在 Google 搜尋結果的排名?歡迎與我們分享!如果您已將這款 API 整合到工具中,也期待您與我們分享心得。如果您在使用這款 API 時遇到任何問題,歡迎造訪網站管理員說明論壇

Posted:
作者:Eric Kuan, Webmaster Relations Specialist and Yuan Niu, Webspam Analyst

我們將在今天的 #nohacked 推廣活動裡,和大家談論雙重驗證。大家可以透過 #nohacked 標記追蹤在Twitter 和 Google+ 上的討論內容。(第 1 部分第 2 部分)


以往透過安全性相對較強的密碼或回答安全性問題,就能有效保護線上帳戶的安全。然而,根據阻止惡意程式 (Stop Badware) 協會的研究,駭客通常會運用竊取而來的憑證入侵網站。此外,即使是知名網站也可能遭受駭客攻擊,並且可能將您的個人資料 (例如密碼) 外洩給攻擊者。
所幸目前可以使用雙重驗證方式來保障個人帳戶的安全雙重驗證的原理是要求使用者在存取個人帳戶前,除了密碼之外,還必須通過其他的驗證方式。如果您在登入社交媒體網站或銀行帳戶時,曾經看過要求您輸入手機接收到的驗證碼的提示 (進入網站或使用晶片讀卡機時),那就表示您早已使用過上述的雙重驗證機制。雙重驗證方式讓其他人難以登入您的帳戶,就算已盜取您的密碼也一樣。
如果條件允許,網站擁有者應為網站的帳戶啟用雙重驗證功能。
如有帳戶遭到入侵,就有可能讓您失去重要的個人資料,並且有損網站的名聲。雙重驗證有助提升帳戶和資料的安全性,讓您高枕無憂。
Google 目前可為所有帳戶提供兩步驟驗證,包括 Google Apps 網域下的所有帳戶。您可以使用手機、像是安全金鑰的硬體驗證裝置,或 Google Authenticator 應用程式來驗證帳戶。當您在旅途中,或無法連上行動網路時,便能靈活運用這些選項。
如果您的主機供應商、內容管理系統 (CMS),或任何一種用來管理網站的平台並未提供雙重驗證功能,可向他們的客戶服務部門反映,要求對方提供這個選項。他們也可以使用 Google 的開放原始碼在自有平台中建置雙重驗證功能。如果您的平台或主機供應商對於未授權的存取行為,無法提供強有力的防護措施,請考慮委由其他主機供應商代管您的內容。您可以前往 https://twofactorauth.org/ 網站查看,其中列有支援雙重驗證的網站清單,並詳列可選用的驗證選項類型。
如果還有其他問題,歡迎前往網站管理員說明論壇提問,該網站管理員社群中的其他成員會幫忙回答您的問題。您也可以加入我們在8月26日針對安全性問題所舉辦的 Hangout 直播。

Posted:
作者:Eric Kuan, Webmaster Relations Specialist, Yuan Niu, Webspam Analyst

我們將在今天的 #nohacked 活動裡,和大家談論社交工程。大家可以透過 #nohacked 主題標記追蹤在Twitter 和 Google+ 上的討論內容。(第一部分)



相信使用網路已經有一段時間的人可能都曾面臨某些形式的社交工程攻擊。所謂的社交工程,指的是以某種方式操控或欺騙使用者,企圖擷取使用者的機密資訊。
網路詐騙
人們所熟悉的網路詐騙是最常見的一種社交工程技術。具體來說,網路詐騙網站和電子郵件會藉由仿冒合法網站,誘騙您在這些網站上輸入使用者名稱和密碼之類的機密資訊。Google 近期的研究顯示,有些網路詐騙網站的成功率可達到 45%!當這類網站取得您的資訊後,可能將您的資訊出售,也可能用這些資訊來操控您的帳戶。
其他社交工程攻擊手法
如果您是網站擁有者,那麼除了網路詐騙之外,還有其他更多的社交工程攻擊手法必須注意,比如針對您網站上使用的軟體和工具進行攻擊。如果您需要下載或使用任何內容管理系統 (CMS)、外掛程式或附加元件,這些項目必須來自可信的來源,例如開發人員的網站內容。來自不可信任網站的軟體可能含有惡意漏洞,容易讓駭客入侵您的網站。
舉例來說,「小布的寵物皇宮」最近聘請了網站管理員小王來幫忙架設網站。小王做了一些設計後,便開始著手收集架設網站所需的軟體。這時,他發現自己愛用的外掛程式 Photo Frame Beautifier 已經從官方 CMS 外掛程式網站下架,開發人員也已停止支援該外掛程式。於是,他很快地又找到了一個提供舊版外掛程式封存的網站,並且下載當中的外掛程式來架設網站。兩個月後,小王收到了 Search Console 的通知,指出他客戶的網站遭到駭客入侵。當他快速修正遭入侵的內容時,也發現了問題的來源。原來,他所用的 Photo Frame Beautifier 外掛程式已遭到第三方修改,成為了惡意人士入侵網站的漏洞。在移除外掛程式、修正遭入侵的內容,並且針對日後可能受到的攻擊採取預防措施後,小王在 Search Console 中提交了重審要求。如上所述,您可以看到正是因為小王的無意疏忽,才造成客戶的網站遭到入侵。
防範社交工程攻擊
社交工程是一種很有效的攻擊手法,因為落入這類陷阱的使用者很難發現不對勁的地方。為了防範社交工程陷阱,您可以採取下列基本策略。
  • 保持警惕每當您在網路上輸入機密資訊,或是安裝網路軟體時,最好秉持合理懷疑的態度。先檢查網址,確定您不是在惡意網站上輸入機密資訊。安裝網站軟體時,也必須確認軟體來自已知的可信任來源,例如開發人員網站。
  • 使用雙重驗證使用雙重驗證 (比如 Google 的兩步驟驗證) 可為您的帳戶安全再添一層防護,即使密碼遭竊也不至於造成損失。建議您盡量為所有帳戶啟用雙重驗證功能。我們會在下週更詳細地說明雙重驗證的優點。
更多社交工程相關資源:
如果還有其他問題,歡迎前往網站管理員說明論壇提問,該網站管理員社群中的其他成員會非常樂意回答您的問題。您也可以加入我們在8月26日針對安全性問題所舉辦的 Hangout 直播
張貼者:

Posted:
原文:#NoHacked: How to avoid being the target of hackers


不論要在網路上發佈任何內容,都必須優先確保資料內容的安全性。遭到駭客入侵不僅會對您的網路形象產生負面影響,還會造成重要私人資料的損失。過去一年來,Google 發現遭到入侵的網站數量增加了 180%在我們努力抵禦駭客入侵攻勢的同時,您也可以採取以下措施來保護自己的線上內容。


在 7 月,我們將繼續進行 #nohacked 推廣活動。這個月的重點是介紹如何避免網站遭受駭客攻擊,並讓您更深入瞭解這些駭客活動的方式。您可以在 Twitter 和 Google+ 上追蹤 #nohacked 推廣活動。在活動結尾,我們也會針對安全性問題舉辦一場 Google Hangouts,開放與會者向我們的安全性專家提問。
在推廣活動開始之際,讓我們先為您提供一些維護網站安全的基本提示。
提高帳戶安全性
設定一個難以猜到或破解的密碼,是保護網站安全的先決要務。舉例來說,您可以在密碼中混用字母、數字及符號,或是指定一句通關密語。此外,密碼長度的重要性也不可輕忽,因為密碼越長,就越難被破解。網路上有許多資源可讓您測試密碼強度,您可以使用與自身密碼相似的密碼進行測試 (請不要在任何其他網站上輸入您真正的密碼),即可瞭解自身密碼的大致強度。
另外,請避免在不同服務中使用相同的密碼,因為當攻擊者取得他處洩漏的密碼清單或成功入侵其他服務後,常會利用從這些地方取得的使用者名稱和密碼組合企圖入侵更多帳戶。
如果您的帳戶支援雙重驗證機制,建議您一併啟用這項功能。如此一來,便能大幅提升您的帳戶安全性,防禦各種形式的帳戶攻擊。我們會在兩週後更詳細地說明雙重驗證的優點。
隨時更新網站所使用的軟體
網站上存在的軟體漏洞,是駭客用來入侵網站的一種常見途徑。因此,請務必定期檢查您的網站是否有任何未更新的軟體,特別是針對安全性漏洞修補所做的更新。如果您使用 Apache、nginx 這類網路伺服器或商業網路伺服器軟體,請務必即時修補安全性漏洞。如果您的網站使用了內容管理系統 (CMS)、任何外掛程式或附加元件,則必須確保這些工具都是最新版本。另外,請為您的網路伺服器軟體和 CMS (如有使用) 註冊安全公告清單。也建議您將網站上不需要的附加元件和軟體全部移除,因為這些項目既可能造成安全性風險,也可能使網站效能降低。
研究您的代管服務供應商如何處理安全性問題
選擇代管服務供應商時,請務必將其安全性政策和對於網站遭入侵的處理方式納入考量。如果您目前有合作的代管服務供應商,您可以嘗試向對方瞭解,當您需要請他們協助處理個別網站問題時,是否能得到即時支援。您也可以參考網路上的評論,看看各家供應商是否有協助使用者清理網站上遭駭內容的實際業務。
如果您自行管理伺服器,或使用虛擬私人伺服器 (VPS) 服務,則必須隨時準備處理可能發生的安全性問題。伺服器管理工作相當複雜,而伺服器管理員的其中一項重要工作,就是確保網路伺服器和內容管理軟體的漏洞和問題均已妥善修正,並且已更新到最新版本。如果您沒有必要自行管理伺服器,不妨花點時間瞭解您的代管服務供應商是否有提供管理服務。
使用 Google 的各項工具即時瞭解網站上是否有駭客植入或竄改過的內容
擁有可讓您主動監控網站的工具是很重要的,因為能夠越早發現網站遭到入侵的跡象,您就能越早修復網站。
如果您尚未申請使用 Search Console,建議您可以試試這項服務。如果 Google 在您的網站上偵測到任何問題 (例如發現遭駭客植入或竄改過的內容),就會透過 Search Console 通知您。您也可以為自己的網站設定 Google 快訊,以便在網站有可疑的結果時收到通知。舉例來說,如果您使用 www.example.com 這個網址經營了一家販售寵物配件網站,則可針對 [site:example.com <特價軟體>] 這個字串建立快訊;這樣一來,當您的網站遭到駭客入侵,突然出現關於特價軟體的內容時,您就會收到相關的通知。您可以使用不同的垃圾字詞為自己的網站建立多個快訊。如果您不知道該使用哪些垃圾字詞,請使用 Google 搜尋常見垃圾字詞
希望這些提示能幫助您在網路上維護您的網站安全。敬請追蹤我們的社交推廣活動,也歡迎透過 #nohacked 主題標記,分享任何關於維護網路安全的提示或技巧。

如果還有其他問題,歡迎前往網站管理員說明論壇提問,該網站管理員社群中的其他成員會非常樂意回答您的問題。您也可以加入我們在8月26日針對安全性議題所舉辦的 Hangouts 直播