我們每天開電腦逛網站，這些看似稀鬆平常的事，是誰讓它變得簡單呢？你可以想像，在每個網站的背後，其實都有著一群非常認真且敬業的工程師，不分晝夜的辛苦監控網站營運，並隨時根據流量變化，即時調整與優化，才能讓電腦桌前的你，可以安心瀏覽網站。

網站並不是上線後就沒事，相反的，上線後才是任務的開始，需要定期的維護、時時關心網站健康，就好比我們每天都會收發 Email、喝水吃東西，有些基本的項目，都該列進網站管理者的例行公事，接著就讓我們一件件檢視，有哪些網站管理的基礎守則吧。

一、定時查看網站存取記錄

網站存取記錄，存放著網站被瀏覽、被下載、被上傳、被存取哪些連結的紀錄。舉例來說，假如網站是 PHP + MySQL，主機通常就是 Linux + Apache 的環境，會有 access_log（範例一）、error_log（範例二）這兩個檔案，接著直接引範例做說明：

範例一、access_log 通常記錄著被瀏覽了哪些連結，哪個來源 IP 瀏覽了此網站。網站如果有帳密登入的功能，想觀察是否有有心人士在嘗試輸入帳密，我們可以從 access_log 查詢來源 IP 是不是自有，也可以因此做一些防範，例如密碼設強一點、定期更換、鎖來源 IP 等等。

範例二、error_log 記錄著被瀏覽的連結可能存有的錯誤訊息，例如 NOTICE 或 ERROR，有 ERROR 就需要注意並修正，否則將影響網站的正常運作。

二、確實檢查網頁檔案及內容

一般網站都會有圖片，而圖片如何來，一是從網頁程式中上傳，另一種則是 FTP 上傳，無論是用何種方式上傳，存放網站圖片的目錄（比方說 : /upload/image）當它裡面出現一個檔案 xx.php，你覺得有沒有問題呢？肯定是要檢查一下！存放網站圖片的目錄裡會有 xx.php ？不是要存 xx.jpg 或 xx.png 等等的檔案類型嗎？

這裡要探討的是，如果是從網頁程式上傳，主要原因就是程式沒有過濾上傳的檔案類型，比方說 xx.php 就不應該被上傳，如果 xx.php 是惡意程式，一旦被執行了可能網站裡所有的資料（包括會員、交易資料）都可能被看光光，甚至破壞網站、刪除資料等，這可是相當嚴重的漏洞，必須小心。

三、定期更新程式

無論網站是否為外包設計公司製作，大家可能多少都會使用一些常見的套裝軟體，像 WordPress、phpBB、Joomla 等等，而以 phpBB 為例，常會因為版本過舊沒有更新，而被利用漏洞塞了很多垃圾留言，導致資料庫的資料量增大，影響程式和資料庫的存取，增加主機負載，這時最明顯的情況就是網站會變得很慢，因此，網站的程式（尤其是用免費的套裝軟體）應該定期檢查並更新，讓服務隨時處於最佳狀態。

四、檢查 SSL 數位憑證有效性

SSL 數位憑證可視為網站的基礎防護，當企業網站具備會員登入功能時，如何才能防止客戶輸入的資料，遭到第三方竊取並解讀呢？這時候就依靠 SSL 數位憑證了，將客戶輸入的機密資料轉換為加密位元，即使遭到攔截，依舊不能完整讀取，一方面是保護客戶資料安全，提升信任感，另一方面則是防止企業需要承擔資安外洩所造成的品牌與財務損失。因此網站管理者需要留意憑證到期日，定期續約，確保憑證可用性。

五、監控網站主機流量變化

通常網站經營一段時間，都會有流量變化的平均曲線，管理者需要確實監控流量變化，避免突然其來的大流量影響網站營運，有時候，短期湧入的超大流量甚至有可能是攻擊事件，惡意癱瘓網站，導致服務無法順利運作，此時便要即時做出防護與資安因應措施，阻擋外來攻擊。相反的，若是要主打線上活動，就需要適時增加頻寬流量，調配資源以符合活動需求。總之，無論監控項目是什麼，最終目的就是要維護網站的順利運作。

六、定期修改密碼

密碼的定時修改，一向都是最基礎也最重要的一件事。攻擊不分時間，一年 365 天、8760 個小時網站都有可能隨時遭受攻擊，像是最常見的密碼暴力破解。所以就算覺得累、嫌麻煩也一定要定期改密碼、更新程式，這才是網站的保命之道。

七、網站基本安全掃描

網路上有一些免費、基本的網站掃描工具，其實大家可以善加利用，為網站做最基礎也最省錢的安全把關，確認網站有沒有惡意程式，或釣魚程式等等，而免費的當然提供的資源有限，還是需要多靠工程師的嚴格把關與確實檢核，讓網站每分每秒處於安全之下。

以上，或許只是網站維運工作的冰山一角，現實工作中的網站經營維護，遠比我們所想的還要多且複雜，但既然架了網站，就還是要花心思與時間，好好關心網站運作狀況，在此，也讓我們對辛苦維運網站的眾多工程師，說聲「辛苦了」，有你們的付出，才能讓我們每個人都能當個快樂低頭族（哈）！

圖片來源：Unsplash / pixabay.com