新手站長也可運用的網站安全資源
如果你擁有一個網站,每天正常的使用網站的各項功能,就能確保你的網站是安全的,那你就錯了。惡意的攻擊者並不會放過一個沒有技術背景的網站,而是不斷地找尋可以攻擊的目標,並且入侵達到攻擊者的目的。
的確有一部分攻擊者,會以網站架設的方式,製造出假的購物商城、網路銀行、網路服務的頁面,誤導用戶交出帳號密碼並且盜用有價資訊。不過越來越多的攻擊者利用網站的弱點,竄改網站的內容,而這個目標可能就是你的網站,受到竄改的網站或許會出現外觀的變化,但更有可能影響更為深遠,例如被植入惡意程式影響網站運作,或是竊取資料庫的重要資料。
所以這一篇文章是要分享給一般沒有技術背景,每天正常使用網站功能,勤奮更新網站內容,以及運用網路經營電子商務的站長。
網站安全常見的迷思
媒體報導的網站攻擊,絕大部分都是竄改網頁內容,達到特定的宣傳目的,這讓許多非技術背景的站長,誤以為只要網頁的內容沒有被竄改,網站就沒有遭受攻擊。
其實隱藏性的攻擊往往更具威脅,舉例來說,這一兩年非常轟動的挖礦惡意軟體(Cryptomining Malware)就是很好的例子。被入侵的網站頁面幾乎與平常一模一樣,然而用戶的電腦卻已經無聲無息的被入侵,成為網路虛擬貨幣挖礦大軍的成員。
另一個十分常見的迷思是,網站交給專業的網頁主機商管理運作,所強調的「安全」是物理上的安全,例如機房具備不斷電系統、資料備援系統等。其實這一類的機房所做的安全,多不包括網站的駭客防護措施。
免費的網站安全資源
那麼沒有技術背景的站長,網站專案人員,該如何自保呢? 網路上有許許多多的資源,能夠幫助你抵抗惡意攻擊者的威脅。
首先要介紹的是Google安全網路環境公開資訊,這個網站提供了簡易的網站檢測服務,可以快速的篩檢你要訪問的網站,當然也包括你自己營運的網站,也可以將網址輸入在此做個免費安全檢測。
另外一個安全的資源也是來自於Google,是許多站長十分熟悉的Search Console,這個網站主要以網站數據統計為主,但其實內建了惡意軟體檢測機制,如果你的網站受到惡意攻擊,Google會主動發送通知告知站長。
此外另一個比較少使用的站長工具Bing Webmaster Tools這幾年也開發了新的安全功能,能夠針對惡意軟體(Malware)、釣魚(pishing)進行偵測,舉例來說,當你的網站連結到了可疑的釣魚網站,就會發出通知警告站長。
至於網路上還有許多免費的檢查服務,幾乎各大防毒軟體公司都有推出,例如趨勢科技、塞門鐵克等大廠都有推出免費的檢測工具。
付費的網站安全資源
一個重要的網站,有時可能是企業的對外形象,或營運收入的重要來源時,可以考慮更為先進的付費網站安全服務,確保你的網站隨時受到安全防護。
常見的付費網站安全服務分為兩種,一種是近年比較廣為人知的SSL/網站加密憑證服務,這一類的服務主要是以網路通訊過程中,訊息不會被惡意的第三方所攔截為主的技術。受到Google與瀏覽器大廠如Chrome、Firefox影響下,SSL/網站加密的服務已經受到高度肯定。
SSL/網站加密主要有幾個等級,其中最高層級的SSL EV強化認證,能夠讓你的網站受到保護同時,用戶還可以確認網站的負責單位,是相當令人安心的一種認證機制。
另外一種付費的網站安全服務為全站掃描,每日協助網站進行病毒與惡意碼的掃描、警報與病毒清除服務,通常也會搭配網站防火牆的服務,因此費用並不便宜,一年的服務費用高達一、兩百元百美金都是相當常見的。
另外還有更高階的網站原始碼比對服務,可以偵測未經許可的程式碼竄改,這樣的服務尚未普及,適用於特殊安全需求的網站。
提高警覺,注意全球資安情報
一般的網站是開放給任何人使用的,隨著網路攻擊的方式不斷在改變,網站本身也要留意四面八方的攻擊,才能24小時提供正常的服務。
網路安全公司經常發布資安訊息,搶先了解有助於思考對策,例如2018年前默默無名的勒索病毒,直到2018年台積電的勒索病毒事件曝光,引發各界高度關注。
未來數位時代的惡意攻擊只會有增無減,唯有對資訊安全提高警覺,隨時做好準備,先從基礎的網站安全做起,例如網站的定期備份、網站的管理權限的落實,以及安裝站長工具等,都能降低網站受到攻擊可能造成的損失。
